Citrix vulnerabilita

Il pericolo corre su CITRIX

19 gennaio 2020

Redazione

Il pericolo di un cyber attacco attraverso l’utilizzo del sistema CITRIX in questi giorni è molto elevato e, per questo motivo, gli esperti del Ministero per la Sicurezza e la Giustizia – su richiesta dei servizi segreti AIVD – , si sono raccomandati di sospendere gli accessi alla rete informatica (delle organizzazioni) attraverso il sistema CITRIX. Dove? In Olanda.

L’Olanda si scopre improvvisamente vulnerabile.


Gli enti e aziende coinvolte sono tutte istituzioni di primo piano fra cui l’aeroporto di Schiphol, la Camera dei Deputati, Province e Comuni (incluso Amsterdam e Rotterdam), scuole e ospedali, tutta la Pubblica Amministrazione. La raccomandazione di disattivare i server CITRIX è rivolta anche alle imprese soprattutto quelle di settori vitali come le aziende fornitrici di energia, le telecom e il settore finanziario.

CITRIX è il custode/controllore che si posiziona fra l’internet pubblico e la rete (protetta) aziendale. È chiaro che se il “custode” è vulnerabile diventa molto semplice, per un hacker, aggirare il controllo ed entrare nella rete aziendale.

Le conseguenze dovute alla disattivazione di CITRIX possono avere impatti notevoli sulle attività e devono essere attentamente valutate all’interno delle organizzazioni. Per questo per la PA e gli Enti governativi è coinvolto direttamente il CIO (Chief Information Officer) del Governo Centrale che decide quali sistemi disattivare e se, invece, l’attività può proseguire con quali e quante misure di sicurezza aggiuntive. Purtroppo il ritorno alla normalità con soluzioni permanenti sembra ancora lontano: indicativamente a partire dal 27 gennaio(1).

CHI È CITRIX

CITRIX è un colosso americano dell’IT specializzato in tecnologie per la virtualizzazione, soluzioni Saas e Cloud. I software CITRIX rendono possibile la connessione a distanza alla rete aziendale. Il sistema è usato per il tele-lavoro da casa, da un hotel ma anche da uffici con postazioni non fisse. In questo modo i dipendenti possono loggarsi a livello centrale anche quando sono a casa oppure in viaggio.
A livello mondiale i clienti di CITRIX sono circa 400.000, organizzazioni fra cui ospedali, aziende, pubblica amministrazione, università che utilizzano i server CITRIX per caricarvi i loro programmi e applicazioni.

COS’È SUCCESSO

Nel corso del mese di dicembre CITRIX ha spiegato che era stata scoperta una falla nella sicurezza del sistema. Questo rendeva possibile agli hackers, fra l’altro:

  • entrare nel sistema informatico aziendale e infettarlo,
  • divulgare informazioni personali contenute nei sistemi delle organizzazioni colpite,
  • rubare informazioni segrete e/o sensibili dai dossier delle organizzazioni colpite,
  • installare un ransomware (virus con richiesta di riscatto).

Il ransomware è la nuova frontiera dei sequestri; l’obiettivo non sono più le persone – fortunatamente – bensì i dati. Questo non cambia l’entità del riscatto che è sempre nell’ordine di cifre a 5 o 6 zeri ossia da centinaia di migliaia fino ai milioni di euro.

Le soluzioni già rilasciate da CITRIX non risolvono interamente il problema. Non solo devono essere sicure ma devono essere anche installate da tutte le organizzazioni coinvolte e i server rimangono vulnerabili finché la nuova patch non viene installata.

COSA FARE DAL PUNTO DI VISTA TECNICO

I server vulnerabili a potenziali attacchi hacker sono CITRIX ADC e CITRIX Gateway.

Le organizzazioni che a causa dei processi primari del loro business NON intendono disattivare i server devono da un lato valutare l’importanza della continuità dei processi primari rispetto ai possibili danni derivanti da un cyber attacco e dall’altro compiere alcune azioni mitiganti nonché attivare un monitoraggio intensivo della situazione.

In particolare si consiglia di:

  • costituire una White List di indirizzi IP consentendo la connessione solo agli indirizzi IP conosciuti. La soluzione è efficace ma comporta un notevole lavoro soprattutto per organizzazioni di grandi dimensioni;
  • configurare la sicurezza dell’applicazione WEB. In questo modo vengono applicati dei filtri che rendono più difficile l’attacco di potenziali hacker;
  • applicare certificati di sicurezza. Richiedendo l’autenticazione con certificati client, un hacker non autenticato non può eseguire l’attacco. Da non sottovalutare che creazione e distribuzione di certificati client richiedono uno sforzo notevole;
  • modificare la porta di ingresso. La modifica della porta di ingresso riduce la possibilità che un utente malintenzionato possa trovare il server dopo aver condotto ampie scansioni. La porta di accesso va aggiornata a tutti gli utenti finali. Il lavoro non è poco e occorre non sottovalutare la capillare comunicazione nonché il coinvolgimento dell Help Desk. Va tenuto presente che la modifica della porta non impedisce il cyber attacco ma lo rende più difficile.

Aspettiamo di vedere se e quali Paesi Europei seguiranno con raccomandazioni così drastiche.

 


Per approfondimenti e normative, consultare i seguenti link e/o riferimenti:

(1)   CITRIX, aggiornamenti in corso

(2)  CITRIX, soluzioni per server ADC e Gateway

(3)  CERT-PA, Situazione Italiana



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *