Спецпроекты

«Дыры» в Citrix распахнули шпионам двери в сети 80 тыс. компаний

3066
Безопасность Администратору Пользователю Телеком Техника Маркет
«Баги» в двух продуктах Citrix открывает возможность запуска в корпоративной сети произвольного кода без какой-либо авторизации. Хотя речь идёт о разных продуктах, уязвимости в них объединены под одним индексом.

Два продукта, «баг» один

Компания Citrix начала выпуск патчей безопасности для своих продуктов Application Delivery Controller (ADC) и Gateway.

Критические уязвимости в Citrix ADC и Gateway - ставят под угрозу внутренние сети около 80 тыс. фирм по всему миру. Из-за этих ошибок у злоумышленников появляется возможность запуска произвольного кода на атакованных машинах.

Citrix Application Delivery Controller (ранее известный как Netscaler ADC) предназначен для балансировки нагрузки и мониторинга, в то время как Gateway обеспечивает возможность безопасного (по идее) удалённого доступа к внутренним корпоративным приложениям - и сетевым, и десктопным.

Citrix опубликовала бюллетень с предупреждением, что уязвимости в упомянутых службах позволяют потенциальным злоумышленникам производить запуск произвольного кода без какой-либо авторизации на устройстве.

citrix600.jpg
«Баг» в двух продуктах Citrix открывает возможность запуска в корпоративной сети произвольного кода без авторизации

По данным фирмы Positive Technologies, которая первой обнаружила «баги», уязвимости появились не позднее 2014 года и с тех пор присутствуют во всех версиях приложений. «Как минимум 80 тысяч компаний в 158 странах находятся под угрозой», - утверждают эксперты Positive.

Промежуточные контрмеры

Citrix опубликовал промежуточные рекомендации по защите от уязвимости. Предлагаемые меры сводятся к блокировке определённых SSL-запросов в VPN-сетях. По-видимому, именно в этих фрагментах кода и содержатся ключевые уязвимости.

- Рассматривать это как окончательное решение вопроса не представляется возможным: SSL VPN - это безопасный туннель в удалённую сеть, использующий защищённый протокол SSL, - отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Ограничения его функциональности могут лишать смысла само его использование. В то же время эксплуатация уязвимости обеспечивает хакерам «ковровую дорожку» во внутренние сети компаний, использующие Citrix ADC и Gateway.

Уязвимость получила индекс CVE-2019-19781, однако никаких подробностей о ней пока не опубликовано. Известно лишь, что уязвимыми являются версии Citrix ADC и Unified Gateway 10.5, 11.1, 12.0, 12.1 и 13.0.

Патчи безопасности

19 января 2020 г. компания Citrix начала выпуск обновлений для разных основных версий прошивок Citrix ADC и Gateway.

Патчи для версии 11.1 и для версии 12.0 можно скачать по ссылкам.

Для остальных версий Citrix обещает выпустить обновления до конца января 2020 г.



Технология месяца

Какие трудности ждут сети 5G на предприятиях

Необходимо решить ряд вопросов,  в первую очередь — с обеспечением безопасности.

Тема месяца

Что делать ИТ-директору во время пандемии

Перед ИТ-руководителями встают задачи, связанные с обеспечением удаленной работы сотрудников.