Positive Technologies: обнаружена уязвимость в ПО Citrix, позволяющая проникнуть в сети 80 000 компаний

Positive Technologies: обнаружена уязвимость в ПО Citrix, позволяющая проникнуть в сети 80 000 компаний

Под угрозой компании в 158 странах: в среднем менее чем за минуту внешний нарушитель может проникнуть во внутреннюю сеть.

Эксперт Positive Technologies Михаил Ключников обнаружил критическую уязвимость в Citrix Application Delivery Controller [1] (NetScaler ADС) и Citrix Gateway (NetScaler Gateway). В случае ее эксплуатации злоумышленник получает прямой доступ в локальную сеть компании из интернета. Для проведения такой атаки не требуется доступ к каким-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель.

В ходе мониторинга актуальных угроз (threat intelligence) эксперты Positive Technologies установили, что потенциально уязвимы не менее 80 000 компаний из 158 стран. В ТОП-5 по количеству таких организаций входят Соединенные Штаты Америки (абсолютный лидер — более 38% всех уязвимых организаций расположены на территории США), Германия, Великобритания, Нидерланды, Австралия. Россия находится на 26-м месте рейтинга по общему числу потенциально уязвимых компаний различных секторов бизнеса — всего более 300 организаций, в том числе входящих в список крупнейших компаний России по версии РБК . Казахстан и Беларусь находятся на 44-м и 45-м местах по числу уязвимых компаний соответственно.

Выявленной уязвимости присвоен идентификатор CVE-2019-19781 , официально вендор пока не присвоил ей уровень опасности по шкале CVSS, однако, по экспертной оценке специалистов Positive Technologies, данная уязвимость соответствует наивысшему, 10-му уровню опасности [2]. Ей подвержены все поддерживаемые версии продукта и все поддерживаемые платформы, в том числе Citrix ADC и Citrix Gateway версии 13.0, Citrix ADC и NetScaler Gateway версии 12.1, Citrix ADC и NetScaler Gateway версии 12.0, Citrix ADC и NetScaler Gateway версии 11.1, а также Citrix NetScaler ADC и NetScaler Gateway версии 10.5. В зависимости от конкретной конфигурации, приложения Citrix могут использоваться для подключения к рабочим компьютерам и критически важным бизнес-системам (в том числе таких классов, как ERP). Практически во всех случаях приложения Citrix доступны на периметре сети компании, а значит, подвержены атакам в первую очередь. Данная уязвимость позволяет внешнему неавторизованному злоумышленнику не только получить доступ к опубликованным приложениям, но и проводить атаки с сервера Citrix на другие ресурсы внутренней сети атакуемой компании. Компания Citrix выпустила комплекс мер, направленных на компенсацию данной уязвимости , а также настаивает на незамедлительном обновлении всех уязвимых версий ПО до рекомендуемых.

«Приложения Citrix широко применяются в корпоративных сетях, в том числе для организации терминального доступа сотрудников к внутренним приложениям компании с любого устройства через интернет. Учитывая высокий уровень риска выявленной уязвимости и распространенность ПО Citrix в бизнес-среде, мы рекомендуем службам ИБ принять незамедлительные меры по устранению угрозы, — отмечает Дмитрий Серебрянников, директор департамента анализа защищенности Positive Technologies. — Отдельно хотим отметить высокую оперативность работы вендора, который сформировал и опубликовал комплекс мер по снижению рисков буквально за две недели с момента выявления уязвимости. Наш опыт показывает, что этот период в ряде случаев может растягиваться до месяцев».

Для блокировки возможной атаки компании могут использовать межсетевые экраны уровня приложения. Например, PT Application Firewall обнаруживает такую атаку «из коробки»: систему следует перевести в режим блокировки опасных запросов для защиты в реальном времени. С учетом общего срока существования выявленной уязвимости (она актуальна с момента выхода первой уязвимой версии ПО, то есть с 2014 года) актуальность приобретает и выявление возможных фактов эксплуатации данной уязвимости (и соответственно, компрометации инфраструктуры) в ретроспективе. Пользователи PT Network Attack Discovery начиная с 18 декабря 2019 года могут воспользоваться специальными правилами, детектирующими попытки эксплуатации данной уязвимости в режиме онлайн.

В 2012 году эксперты Positive Technologies уже обнаружили и помогли устранить множественные уязвимости в Citrix XenServer.

[1] Citrix ADC — программно-ориентированное решение для доставки приложений и балансировки нагрузки, специально разработанное, чтобы повысить скорость работы традиционных, облачных и веб-приложений, независимо от того, где они размещены. Аналитики Stratistics MRC ожидают, что мировой рынок контроллеров доставки приложений такого типа вырастет на 6,8% и достигнет почти 5 млрд $ (4,98 млрд $) к 2023 году. По мнению аналитиков, наибольшее распространение такие контроллеры уже получили в ИТ- и телеком-отраслях. К 2023 году спрос на ADC вырастет у банков, финансовых и страховых компаний. По собственным оценкам Citrix (Citrix Russia) , уже к 2014 году решения этого класса (тогда еще линейку NetScaler) использовало около 75% пользователей интернета.

[2] Уязвимости такого уровня в продуктах ведущих в своем классе производителей ПО выявляются редко. Периодичность в данном случае может составлять до 5—10 лет.

Источник: Securitylab