Критична вразливість в ПО Citrix дозволяє проникнути в мережі десятків тисяч компаній

Експерти Positive Technologies виявили критичну вразливість в Citrix Application Delivery Controller (NetScaler ADС) і Citrix Gateway (NetScaler Gateway). У разі її експлуатації зловмисник отримує прямий доступ в локальну мережу компанії з інтернету. Для проведення такої атаки не потрібен доступ до будь-яких облікових записів, а значить, виконати її може будь-який зовнішній порушник.

В ході моніторингу актуальних загроз (threat intelligence) експерти Positive Technologies встановили, що потенційно вразливі не менше 80 тис. компаній з 158 країн. У ТОП-5 за кількістю таких організацій входять США (абсолютний лідер – більше 38% всіх вразливих організацій розташовані на їх території), Німеччина, Великобританія, Нідерланди, Австралія.

Виявленій уразливості присвоєно ідентифікатор CVE-2019-19781, офіційно вендор поки не присвоїв їй рівень небезпеки за шкалою CVSS, однак, за експертною оцінкою фахівців Positive Technologies, дана уразливість відповідає найвищому, 10-му рівню небезпеки. До неї схильні всі підтримувані версії продукту і всі підтримувані платформи, в тому числі Citrix ADC і Citrix Gateway версії 13.0, Citrix ADC і NetScaler Gateway версії 12.1, Citrix ADC і NetScaler Gateway версії 12.0, Citrix ADC і NetScaler Gateway версії 11.1, а також Citrix NetScaler ADC і NetScaler Gateway версії 10.5. Залежно від конкретної конфігурації, додатки Citrix можуть використовуватися для підключення до робочих комп’ютерів і критично важливим бізнес-систем (в тому числі таких класів, як ERP). У переважній більшості випадків застосування Citrix доступні на периметрі мережі компанії, а значить, схильні до атак в першу чергу. Дана уразливість дозволяє зовнішньому неавторизованому зловмиснику не тільки отримати доступ до опублікованих додатків, але і проводити атаки з сервера Citrix на інші ресурси внутрішньої мережі компанії, що атакується. Компанія Citrix випустила комплекс заходів, спрямованих на компенсацію даної уразливості, а також наполягає на негайному відновленні всіх вразливих версій ПЗ до рекомендованих.

Для блокування можливої ​​атаки компанії можуть використовувати міжмережеві екрани рівня додатку. Для цього систему слід перевести в режим блокування небезпечних запитів для захисту в реальному часі. З урахуванням загального терміну існування виявленої уразливості (вона актуальна з моменту виходу першої вразливої версії ПЗ, тобто з 2014 р) актуальності набуває і виявлення можливих фактів експлуатації даної уразливості (і відповідно, компрометації інфраструктури) в ретроспективі.

Джерело: ko.com.ua