21. janvāris, 2020

Urķis aizlāpa ievainojamību un uzstāda lūku Citrix risinājumos

Citrix vulnerability 768x358 1

Par ļoti bīstamu ievainojamību CVE-2019-19781 uzņēmuma Citrix risinājumos tika paziņots vēl pagājušā gada decembrī. Ievainojamības atklājēji no Positive Technologies novērtēja ievainojamības svarīgumu ar 10 punktiem pēc CVSS sistēmas (augstākais novērtējums ir 10) un lēsa, ka apdraudētas ir vairāk kā 80 000 organizācijas 158 valstīs. Praktiski apdraudējums nozīmē salīdzinoši vieglu un ātru nesankcionētu piekļuvi uzņēmumu un valstu iestāžu datortīklu resursiem.

Tālāk notikumi atīstījās pēc ierasta scenārija. Kārumnieku iegūt pieeju korporatīvajai vai valstu infrastruktūrai netrūkst, tāpēc Citrix ieteikumiem “Mitigation Steps for CVE-2019-19781” tika veikta reversā inženierija, kā rezultātā ļaundaru rokās nonāca nepieciešamā informācija par ievainojamību, lai izstrādātu ekspluatējumus un uzsāktu uzbrukumus. Patiesību sakot, arī drošības šī gada janvārī nopublicēja ekspluatējuma konceptuālo kodu.

Kā jau tas praksē ir neskaitāmas reizes novērots, situācija ar drošības pasākumiem pat ļoti bīstamu ievainojamību atklāšanas gadījumā ir tā no ideālas un vienmēr atrodas kāds daudzums novārtā pamestu sistēmu. Drošības eksperti novēroja uzbrukumu skaita pieaugumu Citrix serveriem pēc tam, kad pētnieki paziņoja, ka tiešsaistē ir pieejams ievainojamības CVE-2019-19781 konceptuālais ekspluatējuma kods. Turklāt pētnieki no FireEye ir pamanījuši, ka viens no uzbrucējiem aizlāpa ievainojamību Citrix serveros, instalējot savu lūku (backdoor) un tādējādi nodrošinot sev ekskluzīvu tālāku pieeju šīm IT sistēmām.

“Pēc piekļuves ievainojamajai NetScaler ierīcei, šis uzbrucējs iztīra zināmo ļaunprogrammatūru un izvieto NOTROBIN (uzbrucēja kodam piešķirtais nosaukums), lai bloķētu turpmākos ekspluatēšanas mēģinājumus! Tomēr viss nav tā, kā šķiet, jo NOTROBIN nodrošina lūkas piekļuvi tiem, kas zina slepeno ieejas frāzi. FireEye uzskata, ka šis uzbrucējs, iespējams, klusiņām vāc piekļuvi NetScaler ierīcēm tālākai kampaņai,” mēs varam lasīt FireEye ziņojumā.

Tikmēr Citrix šodien ir izlaidis atjauninājumus noteiktiem ievainojamajiem produktiem, bet citiem izziņojis atjauninājumu iznākšanas grafiku, par ko varat lasīt uzņēmuma bloga ierakstā “Vulnerability Update: First permanent fixes available, timeline accelerated“.

Padalies ar šo ziņu sociālajos tīklos

Jānis Alksnis

Esmu moderno tehnoloģiju entuziasts ar ilggadēju un plašu pieredzi dažādās informāciju tehnoloģiju jomās, ar savu skatījumu uz lietu kārtību.