در اواسط دسامبر سال 2019 ، یک آسیب پذیری در نرم افزار نگهداری از راه دور سیتریکس کشف شد که به مهاجمان اجازه دسترسی به شبکه محلی شرکت را داد. از آن زمان هزاران رایانه از شرکتهای آلمانی در معرض خطر بوده اند. علاوه بر این ، دستورالعمل های مختلفی در حال حاضر در شبکه در حال گردش است که حتی به افرادی که دانش IT کمی دارند می توانند به سرورهای شرکت دسترسی پیدا کرده و کد مخرب را در آنجا انجام دهند.
Citrix یک مکان کار دیجیتالی ایجاد می کند
همراه با مایکروسافت سیتریکس ابر راه حل برای یک محل کار دیجیتال ایمن در دسترس هستند. محل کار دیجیتالی از ابر با Office365 و Citrix در مایکروسافت لاجورد به طور گسترده در شرکت ها استفاده می شود: بیمارستان ها ، مقامات ، شرکت های مالی و IT از Citrix به عنوان مشتری VPN استفاده می کنند تا کارمندان از هر دستگاهی از طریق اینترنت به ترمینال دسترسی داشته باشند تا برنامه های داخلی را فعال کنند. و به این ترتیب از خانه کار کنید.
به عبارت ساده ، کارمندان دفتر خانه می توانند از Citrix برای اتصال و کار با برنامه های شرکت درست مانند یک رایانه در محل کار استفاده کنند. به خودی خود ، بیش از یک ابزار عملی در زمان دیجیتالی شدن است. اما آنچه قرار است دسترسی ایمن به برنامه های شرکتی فراهم کند ، ناگهان درحال تبدیل شدن به یک حفره امنیتی است.
یک سوراخ روز صفر اجازه می دهد تا به کنترل های تحویل برنامه Citrix و Citrix Gateway به حمله بپردازید.
در اواسط ماه دسامبر ، این بدترین حالت بود: بسیاری از محصولات Citrix تعدادی از آسیب پذیری را شناسایی کرده اند که به مهاجمان امکان دسترسی به شبکه محلی یک شرکت را می دهد. این خطا توسط راه میخاییل كلیوچنیكف ، كارمند ارائه دهنده امنیت انگلیس Positive Technologies کشف شد. وی تعداد شرکت هایی که از این محصول آسیب پذیر در سراسر جهان استفاده می کنند را برای بیش از 80،000 در دسامبر 2019 برآورد کرد
خود تولید کننده محصولات زیر را که در برابر این آسیب پذیری آسیب پذیر هستند ذکر می کند:
- Citrix ADC و Citrix Gateway نسخه 13.0
- Citrix ADC و NetScaler Gateway نسخه 12.1
- Citrix ADC و NetScaler Gateway نسخه 12.0
- Citrix ADC و NetScaler Gateway نسخه 11.1
- Citrix NetScaler ADC و NetScaler Gateway نسخه 10.5
محصولات Citrix دروازه. ADC نوعی از تعادل بار است که به طور قابل اعتماد برنامه های اینترنتی را ارائه می دهد. Citrix Gateway با هدف تضمین دسترسی ایمن ، به عنوان مثال ، SaaS و برنامه های وب انجام شده است. این نرم افزار توسط شرکت ها و اپراتورهای شبکه استفاده می شود و توزیع یکنواخت در استفاده از شبکه را برای جلوگیری از تاخیرهای ناشی از بارهای اوج تضمین می کند. این امر باعث می شود ، از جمله موارد دیگر ، خدمات شبکه نسبت به حملات DDoS کمتر مستعد شوند.
BSI آسیب پذیری "Shitrix" را به عنوان فاصله ای نگران کننده طبقه بندی می کند. Schnnbohm در "Rheinische Post" گفت: این نشت به سرعت توسط "آژانس امنیت اطلاعاتی ایالات متحده" NIST به عنوان "مهم" طبقه بندی شد و رئیس جمهور فدرال امنیت اطلاعات (BSI) آرن شنبوهم نیز در پاسخ هشدار دهنده گفت: "آسیب پذیری در برنامه های توسعه دهنده نرم افزار آمریکایی Citrix نگران کننده است." ".
گزارشگران SWR در اواسط ژانویه سال 2020 آسیب پذیری را بر روی بیش از 2،000 سرور آلمانی کشف کردند: بیمارستان ها ، مقامات فدرال و ایالتی ، شهرداری ها ، اپراتورهای نیروگاه ، شرکت های شهرداری ، بانک ها ، موسسات تحقیقاتی و شرکت های متوسط و بزرگ. این مسئله در مورد شرکت ها نیز صدق می کند. این آسیب پذیری به مهاجمان اجازه می دهد تا با استفاده از درخواست HTTP / HTTPS از فهرست های برنامه های وب در دسترس عموم خارج شوند و به دایرکتوری های داخلی دسترسی پیدا کنند. این می تواند منجر به خواندن پرونده های پیکربندی ، ذخیره یا دستکاری پرونده ها یا اجرای کد شخصی شما شود.
تیم های تحقیقاتی تلاش برای استفاده از مفهوم مورد آزمایش و آزمایش
را منتشر کردند. با این حال ، به جای تهیه سریع وصله ، Citrix فقط تنظیمات پیکربندی را قبل از حمله به محصولات حساس ارائه داد. از آنجا که سایت اطلاع رسانی آنلاین heise با استناد به Citrix که در اواسط ژانویه اعلام شده است ، مدیران باید سیستم های خود را با دور زدن محافظت کنند! مشکل: راه حل با Citrix ADC Release 12.1 با نسخه های نرم افزاری زودتر از 51.16 / 51.19 و 50.31 کار نمی کند. کسانی که از این نسخه ها استفاده می کنند ، باید به روز شوند و سپس کار کنند.
در حالی که فشار بر روی شرکت تا اواسط ژانویه افزایش یافته بود ، اما به سرعت تکه ای را برای آسیب پذیری مهم روز صفر منتشر کرد ، دو تیم تحقیقاتی بطور مستقل کد نمونه ای را برای استفاده از آسیب پذیری منتشر کردند. در 10 ژانویه ، محققانی که خود را Project Zero India می نامند ، كدی را در GitHub منتشر كردند كه به منظور بهره برداری از آسیب پذیری طراحی شده بود و اجازه می داد كه حمله با تلاش نسبتاً کمی انجام شود.
تیم TrustedSec کد نمونه نمونه شما را چند ساعت بعد ردیابی کرد. محققان TrustedSec گفتند كه آنها چند روز قبل اسكریپت را تدوین كرده بودند اما از اثبات این مفهوم خودداری كردند. در ابتدا ، آنها می خواستند كد را حفظ كنند تا افراد آسیب دیده وقت برای پچ كردن سیستم های خود داشته باشند. سرانجام با انتشار کد ، آنها امیدوار بودند كه شركتها بتوانند از آن برای پیدا كردن دستگاههای حساس در سیستمهای خود استفاده كنند و سپس بررسی كنند كه تنظیمات پیكربندی پیشنهادی شده توسط Citrix به درستی انجام شده است.
Citrix تکه های امنیتی را منتشر کرد
در 19 ژانویه ، سیتریکس سرانجام اولین تکه های Citrix ADC 11.1 و 12.0 و Citrix Gateway را منتشر کرد. به روزرسانی های بیشتر Controller Delivery Controller 10.5 ، 12.1 ، 13 و سپس در 22 ، 23 و 24 ژانویه. در این میان ، Citrix SD-WAN WANOP نیز بهبود یافته است.
ما فقط می توانیم شما را ترغیب کنیم که به سرعت تکه های امنیتی را برای محافظت از سیستم های خود در برابر حملات نصب کنید. خبر بد به همین جا ختم نمی شود: طبق گفته وب سایت ZDNet در روز دوشنبه 27 ژانویه ، مهاجمان از قبل به طور جدی به دنبال سیستم های آسیب پذیر بودند ، در نتیجه حداقل 2 کمپین باج افزار علیه محصولات بی سیم سیتریکس هدایت می شد و سایر هکرها باید دستگاه های سیتریکس را به دست بگیرند و ارائه دهند. دسترسی به انجمن ها
اما به روزرسانی امنیتی برگردید: همانطور که توسط Citrix گزارش شده است ، تکه هایی نیز برای لوازم مجازی Citrix ADC و Citrix Gateway (VPX) اعمال می شوند ، که در ESX ، Hyper-V ، KVM ، XenServer ، Azure ، AWS ، GCP یا Citrix ADC Service قرار دارند. لوازم تحویل (SDX). SVM در SDX نیازی به بروزرسانی ندارد.
نصب وصله های امنیتی و سیستم های چک
برای نصب تکه های امنیتی ، ابتدا باید تمام موارد Citrix ADC و Citrix Gateway 11.1 (MPX یا VPX) و تمام نمونه های Citrix ADC را نصب کنید و نمونه های Citrix Gateway 12.0 خود (MPX یا VPX) را به روز کنید.
پس از نصب تکه ها ، سیستم ها را با دقت بررسی کنید ، زیرا گزارش های اولیه از FireEye ظاهر شده است (https://www.fireeye.com/blog / تهدید-تحقیق / 2020/01 / vigilante-مستقر-کاهش-کاهش برای citrix-netscaler- آسیب پذیری-در حالی که حفظ-backdoor.html) ، که مطابق آن مهاجمین قبلاً درب پشتی را تنظیم کرده اند: بعداً مهاجمان به عنوان مثال از طریق -Trojans با استفاده از سیستم های به حداقل رساندن و مجبور کردن به رمزپایه فشار می دهند.
سیستم های به خطر افتاده را ردیابی می کند
ارائه دهنده نرم افزار امنیتی شبکه Citrix و FireEye یک ابزار مشترک با این ویژگی ارائه می دهند سرورهای Citrix می توانند بررسی کنند که آیا دستگاه های شما قبلاً هک شده اند یا خیر. این اسکنر در GitHub (https://github.com/citrix/ioc-scanner-CVE-2019-19781/releases) منتشر شده است و می تواند بصورت محلی راه اندازی شود. این دستگاه ها یکی یکی را اسکن می کند و شاخص های سازش (IOC) را جمع می کند. در حین اسکن ، ابزار به جستجوی داده های پزشکی قانونی و بررسی می پردازد ، به عنوان مثال ، پرونده های ورود به سیستم ، چه وجود داشته باشد و چه از طریق آسیب پذیری طبقه بندی شده به عنوان "مهم" (CVE-2019-19781).
برنامه
برنامه های Citrix خود را در اسرع وقت بهبود دهید. اگر مهاجمان بتوانند با موفقیت از این آسیب پذیری سوء استفاده کنند ، هیچ چیز مانع دسترسی شما به دایرکتوری های شما نمی شود. سپس می توانید فایل ها را دستکاری کرده و حتی کد مخرب را نیز اجرا کنید.
به روزرسانی های امنیتی برای تمام سیستم های آسیب دیده برای بارگیری در دسترس است:
