Об уязвимости CVE-2019-19781, которая затрагивает ряд версий Citrix Application Delivery Controller (ADC), Citrix Gateway, а также две старые версии Citrix SD-WAN WANOP,  и о том, что в открытом доступе появились экплоиты для нее, мы рассказывали еще в начале месяца. После публикации эксплоитов атаки на уязвимые версии Citrix ожидаемо усилились, так как многочисленные хакеры надеются скомпрометировать какую-нибудь ​​важную цель, не успевшую обновиться, — корпоративную сеть, государственный сервер или госучреждение.

Основная проблема заключалась в том, что с момента обнаружения уязвимости прошло больше месяца, однако разработчики Citrix не торопились выпускать патч. Сначала компания ограничилась лишь рекомендациями по безопасности, объяснив клиентам, как уменьшить риски. Фактическое исправление появилось только на прошлой неделе, а финальные патчи и вовсе были выпущены лишь в минувшую пятницу.

Также эксперты Citrix и FireEye подготовили бесплатные решения для выявления компрометации и уязвимых систем.

Теперь аналитики компаний FireEye и Under the Breach предупреждают, что операторы шифровальщиков REvil (Sodinokibi) и Ragnarok активно заражают уязвимые серверы Citrix, которых по-прежнему насчитывается немало.  Также, по неподтвержденным данным, на уязвимые системы нацелились и создатели вымогателя Maze.

Исследователи Under the Breach рассказывают, что операторы REvil опубликовали в сети данные Gedia.com после того, как компания отказалась платить выкуп. И, судя по всему, изначальный взлом компании был осуществлен именно через эксплуатацию бага в Citrix.

Нужно сказать, что в целом процесс установки патчей идет хорошо. Если в декабре 2019 года количество уязвимых систем оценивалось в 80 000 серверов, то в середине января их число сократилось примерно до 25 000, а на прошлой неделе и вовсе опустилось ниже 11 000 систем. За этой статистикой внимательно следят специалисты GDI‌ Foundation.

Оставить мнение