В тысячах серверов Citrix не закрыты критические уязвимости

В тысячах серверов Citrix не закрыты критические уязвимости

В тысячах серверов Citrix не закрыты критические уязвимости

В Citrix ADC и Gateway (ранее выпускались под брендом NetScaler) недавно устранили четыре уязвимости, позволяющие получить несанкционированный доступ к устройству и даже захватить контроль над ним. Проведенная Fox IT проверка показала, что несколько тысяч установок по всему миру до сих пор открыты для эксплойта.

Для исследования были отобраны две наиболее опасные уязвимости — CVE-2022-27510 и CVE-2022-27518. Обе допускают удаленную эксплуатацию, вторую злоумышленники начали использовать еще до выхода патча, поэтому эксперты решили выяснить ситуацию с латанием дыр на местах и ускорить процесс, опубликовав результаты.

Проблема CVE-2022-27510 (9,8 балла по шкале CVSS) классифицируется как обход аутентификации. Эксплуатация возможна в тех случаях, когда служба работает с настройками SSL VPN, CVPN, ICA-прокси или RDP-прокси, и позволяет атакующему получить доступ к устройству.

Соответствующие заплатки для контроллеров доставки приложений и защищенных шлюзов Citrix выпустила 8 ноября. В состав обновлений были также включены патчи к CVE-2022-27513 (захват контроля над устройством через фишинг) и CVE-2022-27516 (обход защиты от брутфорса).

Эксплойт CVE-2022-27518 (9,8 балла CVSS) позволяет без аутентификации удаленно выполнить любой код в системе, что грозит захватом контроля над устройством. Исправление доступно с 13 декабря.

В прошлом месяце в Fox IT провели сканирование интернета и обнаружили 28 тыс. серверов Citrix. Установить версию софта удалось далеко не во всех случаях; большинство экземпляров по оставшейся выборке используют версию 13.0-88.14, для которой CVE-2022-27510 и CVE-2022-27518 не страшны.

Второй по популярности версией оказалась 12.1-65.21, подверженная CVE-2022-27518. Поскольку эксплойт возможен лишь в том случае, когда сервис используется как SAML-совместимый провайдер (SAML SP или IdP), уязвимых экземпляров может оказаться меньше, чем найдено.

Более 1 тыс. серверов нуждаются в патче к CVE-2022-27510, порядка 3 тыс. содержат обе уязвимости. 

 

Повторные сканы показали, что число уязвимых серверов заметно сократилось — видимо, пользователей подстегнули второй бюллетень Citrix (о CVE-2022-27518) и предупреждение АНБ (PDF) об APT-атаках, использующих Citrix ADC как точку входа в целевую сеть. Лучше всего обстоит дело с патчингом в Нидерландах, Дании, Австрии, Франции, Сингапуре и Швейцарии — там уже вылечили больше половины уязвимого парка.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

35% субъектов КИИ столкнулись с нехваткой средств при переходе на ПАКи

Компания К2Тех опросила более сотни представителей организаций, подпадающих под закон о критической информационной инфраструктуре (КИИ), чтобы выяснить, с какими проблемами они сталкиваются при переходе на доверенные программно-аппаратные комплексы (ПАКи).

Результаты исследования показали: главные сложности связаны с финансированием, неясными регуляторными требованиями и отсутствием чётких методик внедрения.

Что изменилось в законе

Закон о КИИ действует с 2017 года. Ранее компании самостоятельно определяли значимость своих объектов исходя из потенциальных рисков.

С 1 сентября 2025 года вступили в силу поправки, обязывающие использовать на таких объектах только российское программное обеспечение. Пока Минцифры готовит уточняющие документы по срокам и деталям перехода, участники рынка пытаются разобраться, как действовать в новых условиях.

Главная проблема — деньги

По данным опроса, 35% компаний считают основной трудностью высокие затраты на адаптацию инфраструктуры. Проведение аудита, закупка отечественных решений и постепенная миграция требуют значительных инвестиций. Особенно это касается коммерческих организаций, где финансовая поддержка со стороны государства пока ограничена.

Ещё 18% респондентов отметили, что не до конца понимают, как действовать: терминология и регуляторные механизмы пока сформулированы нечетко, а требования к доверенным системам часто трактуются по-разному.

Неясные определения и ответственность

На рынке по-прежнему нет единых критериев, что считать доверенным ПАКом, — из-за этого и производители, и заказчики несут дополнительные риски. По мнению участников отрасли, необходимо закрепить это понятие на уровне нормативных актов и создать реестр доверенных ПАКов, чтобы заказчики могли уверенно выбирать решения, соответствующие требованиям государства.

Проблемы совместимости

Отдельная боль — производительность и совместимость оборудования и ПО. Даже решения из государственных реестров не всегда корректно работают вместе. Вендоры и интеграторы сейчас создают матрицы совместимости и тестируют комбинации решений, чтобы убедиться, что они действительно совместимы.

Крупные компании, такие как госкорпорации, создают отраслевые полигоны для проверки импортонезависимых решений в реальных условиях. Поддержку этой работе оказывают и регуляторы — например, через межотраслевые рабочие группы.

Практический опыт

По словам представителей отрасли, переход «в лоб» с импортных решений на отечественные часто оказывается слишком рискованным. Компании предпочитают разбивать процесс на этапы — сначала проводить аудит, затем переходить по отдельным подсистемам.

Также важна сертификация компонентов: использование проверенных версий ОС и СУБД помогает избежать проблем с производительностью и безопасностью.

Эксперты подчёркивают, что важно учитывать не только программную часть, но и киберустойчивость всей инфраструктуры. Каждый элемент должен иметь свои средства защиты, чтобы компрометация одной системы не повлекла за собой сбой остальных.

Готовых решений пока нет

Участники рынка признают: готовых универсальных решений для всех отраслей пока нет. Российские аналоги сложных систем вроде АСУ ТП и ERP по функциональности пока уступают зарубежным. Поэтому компании вынуждены искать компромиссы — где-то снижать требования к производительности, а где-то пересматривать архитектуру бизнес-процессов.

Что дальше

Несмотря на трудности, эксперты уверены: успешный переход на доверенные ПАКи возможен к 2029 году. Но для этого необходима совместная работа всех участников — государства, производителей, интеграторов и заказчиков.

Главный смысл перехода — не просто выполнение формальных требований, а создание устойчивой, независимой и безопасной инфраструктуры, на которую действительно можно опереться.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru