Beveiligingsbedrijf Positive Technologies meldt dat het een Citrix-kwetsbaarheid heeft ontdekt. Het draait om een kwetsbaarheid in de voorheen geheten Netscaler ADC en Netscaler Gateway. Dit zou in potentie een risico betekenen voor de netwerken van 80.000 bedrijven in 158 landen.
Mikhail Klyuchnikov van Positive Technologies ontdekte de kwetsbaarheid, waarvoor een cve is aangevraagd en het nummer CVE-2019-19781 is toegekend. Het draait om de Citrix Application Delivery Controller en de Citrix Gateway, die voorheen bekend stonden als respectievelijk NetScaler ADC en NetScaler Gateway. De kwetsbaarheid heeft nog geen officiële cvss-score gekregen, maar Positive Technologies stelt dat het om het hoogste niveau gaat: 10.
Als de 'kritieke kwetsbaarheid wordt uitgebuit, kunnen aanvallers zich via het internet direct toegang verschaffen tot het lokale netwerk van een bedrijf en daarvoor zijn geen accounts of authenticatie nodig, aldus Positive Technologies. Het uitbuiten van de kwetsbaarheid maakt het voor een aanvaller mogelijk om willekeurige code uit te laten voeren.
Positive Technologies zegt dat Citrix-applicaties wijdverspreid zijn in bedrijfsnetwerken. Ze worden onder meer ingezet om medewerkers via het internet toegang te geven tot de interne bedrijfsapplicaties. De kwetsbaarheid maakt het voor een onbevoegde niet alleen mogelijk om toegang te krijgen tot gepubliceerde applicaties, maar ook andere bronnen van het interne bedrijfsnetwerk zijn kwetsbaar via de Citrix-server.
Volgens het bedrijf kan dit in potentie 80.000 bedrijven in 158 landen raken. De top vijf van landen met dergelijke organisaties wordt aangevoerd door de Verenigde Staten, maar ook het Verenigd Koninkrijk, Duitsland, Nederland en Australië staan in dat rijtje.
Citrix heeft een aantal oplossingen uitgebracht om de kwetsbaarheid het hoofd te bieden. Bedrijven dienen alle kwetsbare softwareversies zo snel mogelijk te updaten. De kwetsbaarheid bestaat geruime tijd: de eerste softwareversie met de kwetsbaarheid werd al in 2014 uitgebracht.
De term cve is een afkorting voor 'common vulnerabilities and exposures'. Dit is een database waarin kwetsbaarheden in systemen en netwerken worden bijgehouden en een bepaald nummer toegewezen krijgen.