คำแนะนำด้านความปลอดภัย: ช่องโหว่ใน Citrix Application Delivery Controller และ Citrix Gateway ซึ่งนำไปสู่การใช้รหัสโดยอำเภอใจ (CVE-2019-19781)

*****โดย Yaron Kassner, CTO และผู้ร่วมก่อตั้ง Silverfort*****

ช่องโหว่ที่เพิ่งถูกระบุใน Citrix Application Delivery Controller (ADC) เดิมชื่อ NetScaler ADC และ Citrix Gateway เดิมชื่อ NetScaler Gateway ช่วยให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสามารถดำเนินการใช้รหัสโดยอำเภอใจได้ หากถูกโจมตี ช่องโหว่นี้ได้รับการกำหนดหมายเลข CVE: CVE-2019-19781 คาดว่าองค์กรประมาณ 80 แห่งได้รับผลกระทบ

ยังไม่มีโปรแกรมแก้ไข แต่ Citrix เผยแพร่การลดที่แนะนำ สำหรับ Silverfort ลูกค้า เราขอแนะนำมาตรการป้องกันเพิ่มเติมต่อไปนี้นอกเหนือจากที่แนะนำโดย Citrix เพื่อให้แน่ใจว่าอุปกรณ์ที่ถูกบุกรุกจะไม่ถูกใช้สำหรับการเข้าถึงโดยไม่ได้รับอนุญาต

ต่อไปนี้เป็นขั้นตอนการลดที่แนะนำสำหรับผู้ใช้ Citrix ADC หรือ Citrix Gateway:

1. สมัครรับการแจ้งเตือน Citrix ดังนั้นคุณจะทราบเมื่อมีการเผยแพร่เฟิร์มแวร์แบบคงที่:  https://support.citrix.com/user/alerts
2. ทำตามขั้นตอนการลดที่แนะนำโดย Citrix ตามที่อธิบายไว้ที่นี่: https://support.citrix.com/article/CTX267679
3. ปกป้องการเข้าถึงระบบและแอปพลิเคชันที่เข้าถึงได้จากอุปกรณ์ Citrix ของคุณด้วย ไอ้เวรตะไล: นอกเหนือจากขั้นตอนที่แนะนำโดย Citrix แล้ว เราขอแนะนำให้บังคับใช้ MFA เพื่อความปลอดภัยในการตรวจสอบสิทธิ์ของผู้ใช้ก่อนที่จะให้สิทธิ์เข้าถึงทรัพยากรที่ละเอียดอ่อน Citrix ช่วยให้คุณสามารถบังคับใช้ MFA ในการเข้าถึงผ่านอุปกรณ์ไปยังระบบเป้าหมาย อย่างไรก็ตาม วิธีแก้ปัญหานั้นยังไม่เพียงพอ: หากแฮ็กเกอร์ใช้ช่องโหว่นี้แล้วและทำให้อุปกรณ์ Citrix ถูกบุกรุก MFA จะไม่บังคับใช้กับการเข้าถึงด้วยรหัสที่ทำงานบนอุปกรณ์ Citrix ที่ถูกบุกรุก ในกรณีนี้ Silverfort ยังสามารถบังคับใช้การตรวจสอบความปลอดภัยได้ไม่ว่าการเข้าถึงจะมาจากอุปกรณ์ที่ถูกบุกรุกหรือจากผู้ใช้ที่ถูกต้องตามกฎหมาย
4. ตรวจสอบกิจกรรมการตรวจสอบสิทธิ์และค้นหาความผิดปกติ: ความผิดปกติในการรับส่งข้อมูลการรับรองความถูกต้องที่มาจากอุปกรณ์ Citrix และการรับส่งข้อมูลการรับรองความถูกต้องที่กำหนดเป้าหมายระบบที่เข้าถึงได้จากอุปกรณ์ Citrix ควรเห็นในบันทึกและควรต้องมีการตรวจสอบเพิ่มเติม  Silverfortกลไกความเสี่ยงที่ขับเคลื่อนด้วย AI ของ AI สามารถระบุความผิดปกติเหล่านี้ได้โดยอัตโนมัติ และบังคับใช้นโยบายเพื่อแจ้งเตือนแบบเรียลไทม์หรือปิดกั้นการเข้าถึง

สิ่งที่ควรระวัง ได้แก่:

– การรับรองความถูกต้องที่มีความเสี่ยงสูง

– โหลดการตรวจสอบสิทธิ์สูงผิดปกติ

- การรับรองความถูกต้องล้มเหลว

– การรับรองความถูกต้องเริ่มต้นจาก Citrix Gateway ซึ่งปกติไม่ได้มาจากที่นั่น ตัวอย่างเช่น ดูการเข้าถึงการแชร์ไฟล์ (cifs Kerberos ตั๋ว) และการเข้าถึง RDP (ตั๋วเงื่อนไข Kerberos)

– การรับรองความถูกต้องที่มาจาก Citrix Gateway ที่ไม่ได้ส่งตรงไปยังแอปพลิเคชันที่มีการป้องกันของ Citrix

สิ่งสำคัญคือต้องจำไว้ว่าภัยคุกคามมีอยู่ภายในเครือข่ายของเรา ไม่ใช่แค่ภายนอกเท่านั้น เราต้องพิจารณาข้อเท็จจริงที่ว่าฝ่ายตรงข้ามอาจเจาะเครือข่ายของเราแล้วและได้รับฐานที่เปิดใช้งานเพิ่มเติม การเคลื่อนไหวด้านข้าง และเข้าถึงแหล่งข้อมูลที่ละเอียดอ่อน เพื่อให้แน่ใจว่ามีการเข้าถึงระบบของเราโดยได้รับอนุญาต เราต้องตรวจสอบข้อมูลประจำตัวและบังคับใช้การรับรองความถูกต้องที่ปลอดภัยในการเข้าถึงจากผู้ที่อยู่ในเครือข่ายของเราอยู่แล้ว เช่นเดียวกับที่เราต้องการการรับรองความถูกต้องที่ปลอดภัยเพื่อตรวจสอบข้อมูลประจำตัวของผู้ที่มาจากภายนอกเครือข่ายของเราผ่าน VPN หรือเกตเวย์อื่นๆ .

Yaron Kassner, CTO และผู้ร่วมก่อตั้ง Silverfort

SilverfortCTO และผู้ร่วมก่อตั้งของ Yaron Kassner เป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และเทคโนโลยีข้อมูลขนาดใหญ่ ก่อนร่วมก่อตั้ง SilverfortYaron ทำหน้าที่เป็นที่ปรึกษาผู้เชี่ยวชาญด้านข้อมูลขนาดใหญ่สำหรับ Cisco เขายังได้พัฒนาความสามารถใหม่เกี่ยวกับการวิเคราะห์ข้อมูลขนาดใหญ่และอัลกอริทึมการเรียนรู้ของเครื่องที่ Microsoft ก่อนหน้านั้น Yaron ทำหน้าที่ในหน่วยไซเบอร์ชั้นยอด 8200 ของกองกำลังป้องกันประเทศอิสราเอล ซึ่งเขาเป็นผู้นำทีมวิจัยและพัฒนาที่มีชื่อเสียง เลื่อนยศเป็นร้อยเอก และได้รับรางวัลความเป็นเลิศอันทรงเกียรติ Yaron สำเร็จการศึกษาระดับปริญญาตรี สาขาคณิตศาสตร์ Summa Cum Laude, วท.ม. และปริญญาเอก สาขาวิทยาการคอมพิวเตอร์จาก Technion – Israel Institute of Technology