Il mio ambiente aziendale è "protetto" con proxy inversi, quanto sono sicuro?
Il mio ambiente aziendale è "protetto" con proxy inversi, quanto sono sicuro?
I net-net sembrano vulnerabili!
Netscaler esegue GNU bash, versione 2.05b.0 (1), dichiarata vulnerabile in link
Ecco cosa ottengo:
root @ ns # env x = '() {:;}; echo vulnerabile 'bash -c "echo questo è un test" vulnerabile questo è un test root @ ns #
Risposta da Citrix sul biglietto che ho sollevato:
"Vorrei informarti che il nostro team di sicurezza sta esaminando questo problema e questo è sotto esame, ci aspettiamo presto un aggiornamento su questo."
mentre aspettiamo la versione ufficiale delle correzioni da Citrix potresti dover utilizzare le tue firme IPS (nel mio caso palo alto) per negare tali attacchi ai siti web remoti e mantenere l'accesso alla gestione / limitazione su Netscaler.
Nota anche che ci sono due modi per mitigarlo:
Se hai la funzione Web App Firewall sul tuo NetScaler (Platinum Edition o Enterprise con la licenza WAF) disponiamo di una firma WAF che può essere scaricata dal sito web:
link (Richiede login.)
Per coloro che non dispongono della funzione WAF, abbiamo sviluppato un criterio Rispondi che può essere attivato in tutte le versioni. I cmd della CLI per abilitarli sono:
enable ns feature responder
add audit messageaction ShellShock_Log CRITICAL "\"The request was sent from \" +CLIENT.IP.SRC + \" Bash Code Injection Vulnerability\"" -bypassSafetyCheck YES
add responder policy ShellShock_policy "HTTP.REQ.FULL_HEADER.REGEX_MATCH(re/\(\)\s*{/) || HTTP.Req.BODY(1000).REGEX_MATCH(re/\(\s*\)/) || HTTP.REQ.URL.QUERY.REGEX_MATCH(re/\(\)\s*{/) || HTTP.REQ.BODY(1000).REGEX_MATCH(re#%28%29[+]*%7B#)" DROP -logAction ShellShock_Log
bind responder global ShellShock_policy 10 END -type REQ_DEFAULT
save config
Ecco la dichiarazione ufficiale ...
Citrix NetScaler ADC e NetScaler Gateway Al momento non siamo a conoscenza di alcun rischio diretto da questo problema al principale percorso di traffico per gli endpoint vServer di NetScaler. Alcuni rischi possono esistere per le interfacce di gestione, pertanto, in linea con le migliori pratiche esistenti, è consigliabile che l'accesso a qualsiasi interfaccia di gestione NetScaler sia limitato solo agli utenti e alle reti attendibili.
Questa guida verrà aggiornata man mano che la nostra analisi continua.
Leggi altre domande sui tag reverse-engineering shellshock