خلفية موجزة عن نزيف سيتريكس
Citrix Bleed ، وهي ثغرة أمنية حرجة في Citrix NetScaler® ، حصلت على تغطية كبيرة في منشورات صناعة الحوسبة. سيوفر هذا المنشور خلفية حول Citrix Bleed ولماذا تستمر تغطية القصة بعد أشهر من اكتشاف الثغرة الأمنية.
الاكتشاف الأولي والتخفيف
في 18 يوليو 2023 ، أعلنت مجموعة Cloud Software Group (CSG) ، الشركة الناتجة عن اندماج Citrix و TIBCO® في عام 2022 ، عن ثلاث نقاط ضعف حرجة تم اكتشافها في NetScaler ADC و NetScaler® Gateway المدارة من قبل العملاء كنشرة أمان في مركز معرفة Citrix®. وفقا للنشرة ، تم بالفعل استغلال الثغرة الأمنية الأكثر خطورة ، CVE-2023-3519.
في ذلك الوقت ، أوصت CSG بتثبيت الإصدارات المحدثة من برنامج NetScaler ADC و Gateway على الأجهزة غير المخففة ، كما أصدرت تحديثات أمنية ، وحثت العملاء على تطبيق التصحيحات في أقرب وقت ممكن.
في 20 يوليو 2023 ، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ، وهي جزء من وزارة الأمن الداخلي الأمريكية (DHS) ، استشارة للأمن السيبراني تقر بأن CVE-2023-3519 قد تم استغلاله ضد منظمة بنية تحتية حيوية أمريكية في يونيو 2023 وتم إبلاغ CISA في يوليو. (ملاحظة: تخصص معرفات مكافحة التطرف العنيف من قبل واحدة من حوالي 100 سلطة ترقيم لمكافحة التطرف العنيف (CNAs)؛ شركة MITRE هي المحرر و CNA الأساسي للمنظمة.)
في هذا الاستغلال ، أسقط المتسللون قشرة ويب (برنامج ضار يسمح بالوصول عن بعد إلى خادم ويب) على جهاز NetScaler ADC الخاص بالمؤسسة. مكن هذا الفعل المتسللين من سرقة البيانات من Active Directory (AD) الخاص بالمؤسسة ، بما في ذلك معلومات حول المستخدمين والمجموعات والتطبيقات والأجهزة على الشبكة.
لحسن الحظ ، تم عزل الجهاز المستهدف داخل شبكة المؤسسة ، لذلك لم يتمكن المتسللون من اختراق وحدة التحكم في المجال ، والتي توفر خدمات المصادقة والترخيص لمجال AD. تمكنت المنظمة من صد المتسللين والحد من الهجوم.
في ذلك الوقت ، قدرت مؤسسة Shadowserver أن أكثر من 15000 خادم Citrix موجود في جميع أنحاء العالم معرض لخطر الاختراق ما لم يتم تطبيق التصحيحات.
التطور إلى نزيف سيتريكس
في 10 أكتوبر 2023 ، كشفت CSG عن ثغرة أمنية جديدة في أجهزة NetScaler ADC و NetScaler Gateway التي يديرها العميل. تم إعطاء هذه الثغرة الأمنية ، التي تم تعيينها للمعرف CVE-2023-4966 ، الاسم الشائع Citrix Bleed ، والذي يلمح إلى ثغرة أمنية سيئة السمعة لعام 2014 تسمى Heartbleed ، والتي تم استغلالها على نطاق واسع وسمحت للمتسللين بسرقة معلومات حساسة مثل كلمات المرور ومفاتيح التشفير وبيانات الاعتماد المصرفية.
يسمح Citrix Bleed للمهاجمين غير المصادق عليهم عن بعد باستخراج البيانات من ذاكرة جهاز NetScaler الضعيفة ، بما في ذلك الرموز المميزة الحساسة للجلسة. من المثير للقلق أن الاستفادة من الثغرة الأمنية بسيطة إلى حد ما وتمكن المتسلل من التحكم في الشبكة التي يديرها جهاز NetScaler واستخدام الرموز المميزة للجلسة التي تصادق على طلبات المستخدم وتمكن الوصول إلى بيانات المستخدم دون الحاجة إلى كلمة مرور أو استخدام المصادقة الثنائية.
أصدرت CSG تصحيحات ل Citrix Bleed ، ولكن في 17أكتوبر ، قامت بتحديث نصائحها الأمنية للكشف عن أنها لاحظت الاستغلال في البرية - أي دليل على أن الثغرة الأمنية قد تم الاستفادة منها بالفعل في العديد من المنظمات. في الواقع ، اكتشفت بعض شركات الأمن السيبراني الثغرة الأمنية التي يتم استغلالها في وقت مبكر من أواخر أغسطس.
من المحتمل أن تكون مآثر Citrix Bleed مستمرة
حتى كتابة هذه السطور ، كشفت العديد من المنظمات الكبيرة عن خروقات أمنية مكنتها Citrix Bleed ، بما في ذلك Boeing و Xfinity. هناك العديد من مجموعات التهديد التي تعمل بنشاط لمواصلة استغلال Citrix Bleed للحصول على معلومات حساسة لبيعها أو الاحتفاظ بها للحصول على فدية أو الاستفادة منها كجزء من عملية جمع المعلومات الاستخباراتية. وطالما استمرت هذه المجموعات في الاستفادة من Citrix Bleed ، ستستمر وسائل الإعلام الصناعية في تغطية الانتهاكات الناتجة.
لماذا لا تزال هذه الجماعات تسعى لاستغلال Citrix Bleed؟ كما هو مذكور أعلاه ، من السهل استغلال Citrix Bleed إذا أهملت المؤسسة تطبيق التصحيح المناسب - ولكن بالإضافة إلى تطبيق التصحيح ، يجب على تكنولوجيا المعلومات أيضا إبطال الرموز المميزة للجلسة النشطة والمستمرة قبل إعادة تشغيل الجهاز. يمنع هذا الإبطال المتسلل من الوصول إلى الرموز المميزة الصالحة للجلسة في الذاكرة واستخدامها للتحكم في الجلسات النشطة والوصول إلى معلومات المستخدم الحساسة.
نظرا لأنه من السهل جدا استغلال Citrix Bleed ، يجب على أي مؤسسة تستخدم NetScaler أن تفترض أن أجهزتها (أجهزتها) قد تم اختراقها ، والتأكد من تطبيق جميع التصحيحات المناسبة وإبطال الرموز المميزة للجلسة. بالإضافة إلى ذلك ، يجب على تكنولوجيا المعلومات فحص جميع أجهزة الشبكة والبنية التحتية بأكملها بحثا عن علامات الاختراق - نشر عدد من شركات الأمن إرشادات أمنية مفصلة مجانية للمساعدة.
ماذا بعد؟
بالنسبة لعملاء Citrix - لا سيما أولئك الذين يستخدمون NetScaler في البنية التحتية للحوسبة الخاصة بهم - كانت Citrix Bleed تجربة مروعة. نتيجة لذلك ، قد يتساءل البعض منهم عما إذا كان استحواذ Citrix الأخير واندماجها مع TIBCO قد شتت انتباه فريق منتج NetScaler وأبطأ إدراكهم للعديد من العيوب الأمنية الحرجة في منتجاتهم. قد يتساءل بعض عملاء Citrix / CSG عما إذا كانت عناصر أخرى من البنية التحتية المعقدة للغاية لشركة Citrix / CSG يمكن أن تكون في خطر.
إذا كنت موردي البرامج المستقلين (ISV) أو MSP الذين يعيدون تقييم استخدامك ل Citrix لتقديم تطبيقات Windows للعملاء، أو ترغب في تقليل تعقيد البنية الأساسية لحوسبة المستخدم النهائي، أو خفض تكلفة تسليم تطبيقات Windows، ففكر في GO-Global.
مع نشر تطبيق GO-Global ، تعمل تطبيقات Windows على خادم ، والذي يمكن تثبيته في أي سحابة عامة أو خاصة أو مختلطة. ثم تستفيد GO-Global من البنية التحتية الحالية لخدماتك السحابية وميزات الأمان وقابلية التوسع لتقديم وظائف متقدمة بأقل تعقيد وتكلفة أقل ومخاطر أقل.
بالنسبة للمؤسسات الواعية بالأمان ، تدعم GO-Global المصادقة الثنائية وهي الحل الوحيد لنشر تطبيقات Windows الذي يوفر دعم تسجيل الدخول الأحادي ل OpenID® Connect (OIDC) ، والذي يمكن المؤسسات من استخدام موفري هوية OIDC مثل Okta® و Microsoft® Active Directory Federated Services (ADFS) لتسجيل الدخول الأحادي إلى مضيفي GO-Global Windows.
على الرغم من تكلفتها المنخفضة ، توفر GO-Global قابلية التوسع على مستوى المؤسسات ولكنها سهلة التثبيت والتكوين والاستخدام ، وتوفر تجربة مستخدم رائعة ، بما في ذلك عمليات تسجيل الدخول السريعة والحد الأدنى من زمن الوصول ، حتى عبر اتصالات النطاق الترددي المنخفض.
تقليل التعقيد. خفض التكلفة. تقليل المخاطر.
احصل على GO-Global.
لمعرفة المزيد ، اطلب عرضا توضيحيا هنا أو قم بتنزيل نسخة تجريبية مجانية مدتها 30 يوما.
