Спецпроекты

«Дыры» в Citrix распахнули шпионам двери в сети 80 тыс. компаний

3066
Безопасность Администратору Пользователю Телеком Техника Маркет
«Баги» в двух продуктах Citrix открывает возможность запуска в корпоративной сети произвольного кода без какой-либо авторизации. Хотя речь идёт о разных продуктах, уязвимости в них объединены под одним индексом.

Два продукта, «баг» один

Компания Citrix начала выпуск патчей безопасности для своих продуктов Application Delivery Controller (ADC) и Gateway.

Критические уязвимости в Citrix ADC и Gateway - ставят под угрозу внутренние сети около 80 тыс. фирм по всему миру. Из-за этих ошибок у злоумышленников появляется возможность запуска произвольного кода на атакованных машинах.

Citrix Application Delivery Controller (ранее известный как Netscaler ADC) предназначен для балансировки нагрузки и мониторинга, в то время как Gateway обеспечивает возможность безопасного (по идее) удалённого доступа к внутренним корпоративным приложениям - и сетевым, и десктопным.

Citrix опубликовала бюллетень с предупреждением, что уязвимости в упомянутых службах позволяют потенциальным злоумышленникам производить запуск произвольного кода без какой-либо авторизации на устройстве.

citrix600.jpg
«Баг» в двух продуктах Citrix открывает возможность запуска в корпоративной сети произвольного кода без авторизации

По данным фирмы Positive Technologies, которая первой обнаружила «баги», уязвимости появились не позднее 2014 года и с тех пор присутствуют во всех версиях приложений. «Как минимум 80 тысяч компаний в 158 странах находятся под угрозой», - утверждают эксперты Positive.

Промежуточные контрмеры

Citrix опубликовал промежуточные рекомендации по защите от уязвимости. Предлагаемые меры сводятся к блокировке определённых SSL-запросов в VPN-сетях. По-видимому, именно в этих фрагментах кода и содержатся ключевые уязвимости.

- Рассматривать это как окончательное решение вопроса не представляется возможным: SSL VPN - это безопасный туннель в удалённую сеть, использующий защищённый протокол SSL, - отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Ограничения его функциональности могут лишать смысла само его использование. В то же время эксплуатация уязвимости обеспечивает хакерам «ковровую дорожку» во внутренние сети компаний, использующие Citrix ADC и Gateway.

Уязвимость получила индекс CVE-2019-19781, однако никаких подробностей о ней пока не опубликовано. Известно лишь, что уязвимыми являются версии Citrix ADC и Unified Gateway 10.5, 11.1, 12.0, 12.1 и 13.0.

Патчи безопасности

19 января 2020 г. компания Citrix начала выпуск обновлений для разных основных версий прошивок Citrix ADC и Gateway.

Патчи для версии 11.1 и для версии 12.0 можно скачать по ссылкам.

Для остальных версий Citrix обещает выпустить обновления до конца января 2020 г.



Точки роста

BIM в России. Что его стимулирует, а что — тормозит

Информационное моделирование приходит в строительную отрасль.

Персона месяца

Инвесторам интересен не российский интернет, а российские технологии

Кенес Ракишев

казахстанский миллионер, создатель криптосмартфона