Mi entorno empresarial está "protegido" con proxies inversos, ¿qué tan seguro estoy?
Mi entorno empresarial está "protegido" con proxies inversos, ¿qué tan seguro estoy?
¡Los netscalers parecen ser vulnerables!
Netscaler ejecuta GNU bash, versión 2.05b.0 (1), que se declara como vulnerable en enlace
Esto es lo que obtengo:
root @ ns # env x = '() {:;}; echo vulnerable 'bash -c "echo esto es una prueba" vulnerable esto es una prueba root @ ns #
Respuesta de Citrix en el ticket que presenté:
"Me gustaría informarle que nuestro equipo de seguridad está investigando este problema y esto está bajo investigación, esperamos una actualización pronto sobre esto".
mientras esperamos la publicación oficial de Citrix, es posible que tenga que usar sus firmas IPS (en mi caso, palo alto) para rechazar dichos ataques en sitios web remotos y vigilar / restringir el acceso de administración en Netscaler.
También tenga en cuenta que hay dos formas de mitigar esto:
Si tiene la función Firewall de la aplicación web en su NetScaler (Platinum Edition o Enterprise con la licencia WAF), tenemos una Firma WAF que se puede descargar del sitio web:
enlace (Requiere inicio de sesión.)
Para aquellos sin la función WAF, hemos desarrollado una política de respuesta que se puede habilitar en todas las versiones. Los cmds de CLI para habilitar esto son:
habilitar ns respondedor de características
agregar auditoría mensaje de mensaje ShellShock_Log CRITICAL "\" La solicitud se envió desde \ "+ CLIENT.IP.SRC + \" Vulnerabilidad de Inyección de Código Bash \ "" -bypassSafetyCheck YES
agregue la política de respuesta Política de ShellShock "HTTP.REQ.FULL_HEADER.REGEX_MATCH (re / \ (\) \ s * {/) HTTP.Req.BODY (1000) .REGEX_MATCH (re / \ (\ s * \) /) || HTTP.REQ.URL.QUERY.REGEX_MATCH (re / \ (\) \ s * {/) || HTTP.REQ.BODY (1000) .REGEX_MATCH (re #% 28% 29 [+] *% 7B #) "DROP -logAction ShellShock_Log
enlace respondedor global ShellShock_policy 10 END-tipo REQ_DEFAULT
guardar configuración
Aquí está la declaración oficial ...
Citrix NetScaler ADC y NetScaler Gateway Actualmente no tenemos conocimiento de ningún riesgo directo de este problema en la ruta de tráfico principal para los puntos finales de NetScaler vServer. Puede existir algún riesgo para las interfaces de administración, por lo que, de acuerdo con las mejores prácticas existentes, recomendamos que el acceso a cualquier interfaz de administración de NetScaler esté restringido a usuarios y redes de confianza únicamente.
Esta guía se actualizará a medida que nuestro análisis continúe.
Lea otras preguntas en las etiquetas shellshock reverse-engineering