Каждая пятая компания не устранила уязвимость в ПО Citrix, позволяющую за минуту проникнуть во внутреннюю сеть

Критически опасную уязвимость CVE-2019-19781 в Citrix Application Delivery Controller (NetScaler ADС)[1] и Citrix Gateway (NetScaler Gateway) в декабре обнаружил эксперт Positive Technologies Михаил Ключников. По данным Positive Technologies на конец 2019 года, лидерами по числу потенциально уязвимых организаций были США (более 38% всех уязвимых организаций), Германия, Великобритания, Нидерланды и Австралия. Восьмого января 2020 года был опубликован эксплойт, который позволяет гипотетическому злоумышленнику автоматизировать атаки на компании, не устранившие данную уязвимость.

«Полностью исключить проблему разработчики Citrix планировали с 27 по 31 января, но выпустили серию патчей для разных версий продукта на неделю раньше. Важно как можно скорее установить необходимое обновление, а до тех пор придерживаться рекомендаций по безопасности Citrix, которые были доступны с момента публикации информации об уязвимости», — предупреждает директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков.

В целом динамика устранения уязвимости положительная, но в зоне риска все еще остаются 19% компаний. В топ стран по количеству потенциально уязвимых организаций сегодня входят Бразилия (43% от числа компаний, в которых уязвимость была выявлена изначально), Китай (39%), Россия (35%), Франция (34%), Италия (33%) и Испания (25%). Лучшую динамику демонстрируют США, Великобритания и Австралия: в этих странах зафиксировано по 21% компаний, которые продолжают использовать уязвимые устройства и не принимают никаких мер защиты.

Напомним, в случае эксплуатации уязвимости злоумышленник получает прямой доступ в локальную сеть компании из интернета. Для проведения такой атаки не требуется доступ к каким-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель.

Для блокировки возможной атаки компании могут использовать межсетевые экраны уровня приложения. Например, PT Application Firewall обнаруживает такую атаку «из коробки»: систему следует перевести в режим блокировки опасных запросов для защиты в реальном времени. С учетом общего срока существования выявленной уязвимости (она актуальна с момента выхода первой уязвимой версии ПО, то есть с 2014 года) актуальность приобретает и выявление возможных фактов эксплуатации данной уязвимости (и соответственно, компрометации инфраструктуры) в ретроспективе. Пользователи PT Network Attack Discovery начиная с 18 декабря 2019 года могут воспользоваться специальными правилами, детектирующими попытки эксплуатации данной уязвимости в режиме онлайн.