Спецпроекты

Positive Technologies: каждая пятая компания не устранила опасную уязвимость в ПО Citrix

Безопасность Администратору Стратегия безопасности

Спустя полтора месяца после публикации Positive Technologies информации о критически опасной уязвимости в ПО Citrix, угрожавшей 80 тыс. компаний в 158 странах, каждая пятая компания все еще не приняла меры для устранения уязвимости. Это следует из данных мониторинга актуальных угроз (threat intelligence), который проводит компания Positive Technologies.

Критически опасную уязвимость CVE-2019-19781 в Citrix Application Delivery Controller (NetScaler ADС) и Citrix Gateway (NetScaler Gateway) в декабре обнаружил эксперт Positive Technologies Михаил Ключников. По данным Positive Technologies на конец 2019 г., лидерами по числу потенциально уязвимых организаций были США (более 38% всех уязвимых организаций), Германия, Великобритания, Нидерланды и Австралия. 8 января 2020 г. был опубликован эксплойт, который позволяет гипотетическому злоумышленнику автоматизировать атаки на компании, не устранившие данную уязвимость.

«Полностью исключить проблему разработчики Citrix планировали с 27 по 31 января, но выпустили серию патчей для разных версий продукта на неделю раньше. Важно как можно скорее установить необходимое обновление, а до тех пор придерживаться рекомендаций по безопасности Citrix, которые были доступны с момента публикации информации об уязвимости», — сказал директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков.

В целом динамика устранения уязвимости положительная, но в зоне риска все еще остаются 19% компаний. В топ стран по количеству потенциально уязвимых организаций сегодня входят Бразилия (43% от числа компаний, в которых уязвимость была выявлена изначально), Китай (39%), Россия (35%), Франция (34%), Италия (33%) и Испания (25%). Лучшую динамику демонстрируют США, Великобритания и Австралия: в этих странах зафиксировано по 21% компаний, которые продолжают использовать уязвимые устройства и не принимают никаких мер защиты.

Напомним, в случае эксплуатации уязвимости злоумышленник получает прямой доступ в локальную сеть компании из интернета. Для проведения такой атаки не требуется доступ к каким-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель.

Для блокировки возможной атаки компании могут использовать межсетевые экраны уровня приложения. Например, PT Application Firewall обнаруживает такую атаку «из коробки»: систему следует перевести в режим блокировки опасных запросов для защиты в реальном времени. С учетом общего срока существования выявленной уязвимости (она актуальна с момента выхода первой уязвимой версии ПО, то есть с 2014 г. актуальность приобретает и выявление возможных фактов эксплуатации данной уязвимости (и соответственно, компрометации инфраструктуры) в ретроспективе. Пользователи PT Network Attack Discovery начиная с 18 декабря 2019 г. могут воспользоваться специальными правилами, детектирующими попытки эксплуатации данной уязвимости в режиме онлайн.