Über die NetScaler Zero-Day-Schwachstelle
Citrix Systems hat angekündigt
dass aufgrund eines Zero-Day-RCE-Bugs (Remote Code Execution) etwa 15.000 NetScaler ADC- und Gateway-Server anfällig für Cyber-Attacken sind. Die anfälligen Appliances müssen als Gateway (virtueller VPN-Server, ICA-Proxy, CVPN, RDP-Proxy) oder als virtueller Authentifizierungsserver konfiguriert sein, um für Angriffe anfällig zu sein.
Bedrohungsakteure begannen in der ersten Juliwoche in einem Hackerforum mit der Werbung für die Citrix ADC Zero-Day-Schwachstelle. Citrix veröffentlichte am 18. Juli 2023 Sicherheitsupdates zur Behebung dieser RCE-Schwachstelle und forderte die Kunden auf, die Patches so schnell wie möglich zu installieren. Seit der Ankündigung haben mehrere Organisationen, darunter die U.S. Cybersecurity & Infrastructure Security Agency (CISA), den Unternehmen empfohlen, sofortige Schritte zur Behebung dieser Sicherheitslücke zu unternehmen.
In diesem Beitrag empfehlen wir fünf Fragen, die Sie Ihren Drittanbietern stellen sollten, um ihre Nutzung von NetScaler zu ermitteln und ihre Reaktion auf damit verbundene Sicherheitsvorfälle zu verstehen. Außerdem stellen wir Ihnen drei Best Practices vor, mit denen Sie die Reaktion auf Vorfälle bei Drittanbietern in Ihrem Unternehmen besser automatisieren können.
5 Fragen an Anbieter und Lieferanten zur NetScaler-Sicherheitslücke
Verwenden Sie diese kurze Bewertung, um die Gefährdung Ihrer Drittanbieter (und damit Ihres Unternehmens) durch den NetScaler-Zero-Day zu ermitteln. Sie können dann eine Risikogewichtung nach Antwort festlegen, um die Kritikalität der Gefährdung zu bewerten und sich auf die Anbieter mit dem höchsten Risiko zu konzentrieren.
| Fragen | Mögliche Antworten |
|---|---|
| 1) Verwendet die Organisation einen vom Kunden verwalteten NetScaler ADC und NetScaler Gateway?
Hilfetext: Mitte Juli gab Citrix bekannt, dass in den von Kunden verwalteten NetScaler ADC und NetScaler Gateway eine hochgradig gefährliche Schwachstelle entdeckt wurde. Die Schwachstelle könnte dazu führen, dass ein nicht authentifizierter, entfernter Angreifer beliebigen Code auf einem betroffenen Gerät ausführen kann. Am 18. Juli wurden Sicherheitsupdates für die Sicherheitslücke veröffentlicht. |
Bitte wählen Sie eine der folgenden Möglichkeiten:
a) Ja, die Organisation nutzt NetScaler ADC (Citrix ADC) und/oder NetScaler Gateway. b) Nein, die Organisation setzt NetScaler ADC (Citrix ADC) und/oder NetScaler Gateway nicht ein. |
| 2) Ist die Organisation von der Citrix-Code-Injection-Schwachstelle betroffen?
Hilfetext: Neben dem Ausmaß der Auswirkung sollte auch berücksichtigt werden, wo die Auswirkung aufgetreten ist. |
Bitte wählen Sie eine der folgenden Möglichkeiten:
a) Es gab erhebliche Auswirkungen auf unsere kritischen Systeme, Anwendungen oder Informationen. b) Die Auswirkungen auf unsere kritischen Systeme, Anwendungen oder Informationen sind hoch. c) Die Auswirkungen auf unsere kritischen Systeme, Anwendungen oder Informationen waren gering. d) Die Cyber-Attacke hatte keine Auswirkungen auf unsere kritischen Systeme, Anwendungen oder Informationen. |
| 3. Wenn NetScaler ADC oder NetScaler Gateway im Einsatz ist, hat die Organisation die vom Lösungsanbieter (Citrix) empfohlenen Schritte zur Behebung der Schwachstelle unternommen?
Hilfetext: Citrix hat Unternehmen dringend empfohlen, die neuesten Versionen von NetScaler ADC und NetScaler Gateway so schnell wie möglich zu installieren. Die Empfehlungen sind auf der Citrix-Support-Website zu finden. |
Bitte wählen Sie alle zutreffenden Angaben aus.
a) Das Unternehmen hat festgestellt, dass es mit einer betroffenen Version von NetScaler ADC und/oder NetScaler Gateway arbeitet. b) Die neuesten Patches und Updates wurden für den NetScaler ADC und/oder NetScaler Gateway bereitgestellt. |
| 4. Beeinträchtigt die Kompromittierung wichtige Dienste, die dem Kunden zur Verfügung gestellt werden? | Bitte wählen Sie eine der folgenden Möglichkeiten:
a) Ja b) Nein |
| 5. Wer ist als Ansprechpartner benannt, der zusätzliche Fragen beantworten kann? | Bitte geben Sie den wichtigsten Ansprechpartner für das Management von Informations- und Cybersicherheitsvorfällen an.
Name: Titel: E-Mail: Telefon: 3 Best Practices für die Behebung von Sicherheitsvorfällen bei Drittanbietern |
Auch wenn es nicht möglich ist, alle Risiken aus jeder Lieferantenbeziehung zu eliminieren, kann Ihr Programm für das Risikomanagement von Drittanbietern die nötige Transparenz und Automatisierung bieten, um proaktiv die Risiken zu finden und zu mindern, die Ihr Geschäft stören können. Beginnen Sie mit diesen drei Schritten:
1. Identifizierung von Anbietern, die die betroffene Technologie nutzen könnten
Um zu wissen, welche Anbieter eine bestimmte Technologie verwenden, müssen Sie zunächst einmal wissen, wer Ihre Anbieter sind - und das bedeutet, dass Sie ein zentrales Anbieterinventar erstellen müssen. Dies lässt sich nicht mit Tabellenkalkulationen bewerkstelligen und auch nicht, indem man die Verwaltung der Lieferanten an die Teams der einzelnen Abteilungen delegiert. Die Verwaltung muss zentral in einem System erfolgen, auf das alle an der Lieferantenverwaltung Beteiligten Zugriff haben. Ihr zentrales System sollte den Import von Lieferantenprofildaten aus vorhandenen Tabellenkalkulationen oder über eine API-Verbindung zu Ihrer aktuellen Beschaffungslösung ermöglichen.
Sobald Sie alle Anbieter zentralisiert haben, können Sie mit Hilfe von Anbieterfragebögen, die von passiven Scanning-Funktionen unterstützt werden, die Beziehungen zu Technologieanbietern ermitteln. In diesem speziellen Fall würde diese Übung aufzeigen, welche Anbieter NetScaler verwenden. Das Sammeln von Informationen über Technologien von Drittanbietern, die in Ihrem Anbieter-Ökosystem eingesetzt werden, hilft bei der Identifizierung von Unternehmen, die die betroffene Technologie verwenden, so dass Sie priorisieren können, welche Ihrer Anbieter weitere Bewertungen benötigen.
2. Erstellung veranstaltungsspezifischer Risikobewertungen
Sobald Sie Anbieter identifiziert haben, die die betroffene Technologie in ihren Umgebungen einsetzen, sollten Sie sie mit einfachen, gezielten Bewertungen beauftragen, die sich an bekannten Sicherheitsstandards und bewährten Verfahren wie NIST 800-161
und ISO 27036 entsprechen. Die Ergebnisse dieser Bewertungen helfen Ihnen dabei, die notwendigen Abhilfemaßnahmen zur Schließung potenzieller Sicherheitslücken zu treffen. Gute Bewertungslösungen bieten integrierte Empfehlungen, um Abhilfemaßnahmen zu beschleunigen und diese Lücken schnell zu schließen.
Beginnen Sie Ihre ereignisspezifische Bewertung auf der Grundlage der fünf Fragen, die wir im obigen Abschnitt genannt haben, und gewichten Sie die Antworten entsprechend der Risikotoleranz Ihres Unternehmens:
Dies sind grundlegende Fragen, die dazu dienen, erste Informationen zu erhalten. Ihre Organisation kann auch andere oder zusätzliche Fragen stellen.
3. Kontinuierliche Überwachung betroffener Anbieter
Es ist wichtig, ständig wachsam zu sein, nicht nur im Hinblick auf die Risiken, die sich aus dem NetScaler-Zero-Day ergeben, sondern auch im Hinblick auf die Risiken des nächsten Angriffs. Beginnen Sie mit der Überwachung des Internets und des Dark Web durch kontinuierliche Cyber-Überwachung, um Listen mit gestohlenen Zugangsdaten, die zum Verkauf angeboten werden, und andere Signale eines bevorstehenden Sicherheitsvorfalls zu erkennen.
Sie sollten kriminelle Foren, Onion-Seiten, spezielle Dark-Web-Foren, Threat-Feeds, Paste-Sites für durchgesickerte Zugangsdaten, Sicherheits-Communitys, Code-Repositories, Datenbanken für Sicherheitslücken und Hackerangriffe sowie negative Nachrichten überwachen. Durch die Überwachung des Dark Web wurde diese spezielle Sicherheitslücke in einem Hackerforum aufgedeckt.
Sie können mehrere einzelne Quellen überwachen - oder Sie können eine Lösung verwenden, die Erkenntnisse aus mehreren Quellen zusammenführt, alle Risikodaten zentralisiert und sie für die wichtigsten Beteiligten sichtbar macht. Mit dem letztgenannten Ansatz können Sie die Ergebnisse der kontinuierlichen Überwachung mit den Antworten der Risikobewertung korrelieren, um zu überprüfen, ob die Anbieter Kontrollen eingerichtet haben oder nicht.
Nächste Schritte: Aktivieren Sie Ihr Programm zur Reaktion auf Drittanbietervorfälle
Wären Sie in der Lage, bei einem Cybersecurity-Vorfall in Ihrem Lieferanten-Ökosystem die Auswirkungen schnell zu verstehen und einen Reaktionsplan zu aktivieren? Bei der Reaktion auf Vorfälle ist Zeit das A und O. Wenn Sie also mit einem definierten Plan für die Reaktion auf Vorfälle proaktiv vorgehen, verkürzen Sie die Zeit, in der Sie potenzielle Probleme bei den Anbietern entdecken und entschärfen können. Ein programmatischer Reaktionsplan für Drittanbietervorfälle sollte Folgendes umfassen:
- Eine zentral verwaltete Datenbank mit Anbietern und den von ihnen genutzten Technologien
- Vorgefertigte Bewertungen der Widerstandsfähigkeit, Kontinuität und Sicherheit von Unternehmen, um die Wahrscheinlichkeit und die Auswirkungen eines Vorfalls abzuschätzen
- Scoring und Gewichtung zur Konzentration auf die wichtigsten Risiken
- Eingebaute Empfehlungen zur Behebung potenzieller Schwachstellen
- Stakeholder-spezifische Berichterstattung als Antwort auf die unvermeidliche Anfrage des Vorstands
Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihrem Unternehmen dabei helfen kann, die Erkennung und Minderung von Risiken Dritter zu beschleunigen, fordern Sie noch heute eine Demo an.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
