Um mês após a publicação de informações sobre uma vulnerabilidade perigosa no software Citrix que ameaçava 80 mil empresas em 158 países, um quinto das empresas ainda não tomou medidas para eliminar a vulnerabilidade.
Isto pode ser concluído a partir do monitoramento de inteligência de ameaças, conduzido por funcionários da Positive Technologies.
O crítico vulnerabilidade CVE-2019-19781 no Citrix Application Delivery Controller (NetScaler ADC) e Citrix Gateway (Gateway NetScaler) em dezembro foi descoberto por especialistas da Positive Technologies.
"No fim de 2019, os Estados Unidos lideraram a lista de organizações potencialmente vulneráveis (mais do que 38% de todas as organizações vulneráveis), seguido pela Alemanha, o Reino Unido, Holanda e Austrália”, – dizem os especialistas.
Como foi relatado anteriormente, houve até um mysterious hacker – uma espécie de Robin Hood, que corrigiu um servidor com esta vulnerabilidade. Em janeiro 8, 2020, foi publicado um exploit que permite a um hipotético invasor automatizar ataques a empresas que não corrigiram esta vulnerabilidade.
“Desenvolvedores Citrix planejado eliminar completamente o problema entre Janeiro 27 e janeiro 31, mas lançou uma série de patches para diferentes versões do produto uma semana antes. É importante instalar a atualização necessária o mais rápido possível, e até então, aderir ao Citrix recomendações de segurança que estão disponíveis desde a publicação das informações de vulnerabilidade”, – alerta PT Expert Security Center.
Geral, o dynamics of eliminating vulnerabilities is positive, mas 20% das empresas ainda permanecem na zona de risco. O topo dos países em termos de número de organizações potencialmente vulneráveis hoje inclui o Brasil (43% das empresas nas quais a vulnerabilidade foi inicialmente identificada), China (39%), Rússia (35%), França (34%), Itália (33%) e Espanha (25%). A melhor dinâmica demonstrou os EUA, Grã-Bretanha e Austrália: nesses países localizam apenas 21% de empresas que continuam a utilizar dispositivos vulneráveis e não tomam quaisquer medidas de proteção.
Lembre-se que no caso de explorar uma vulnerabilidade, um invasor obtém acesso direto à rede local da empresa pela Internet. Para realizar tal ataque, não é necessário acesso a nenhuma conta, o que significa que ele pode executar qualquer intruso externo.
As empresas podem usar firewalls em nível de aplicativo para bloquear um possível ataque. Essas telas detectam um ataque “sai da caixa”: o sistema deve ser colocado no modo de bloqueio de solicitações perigosas de proteção em tempo real.
Também, Vou lembrá-lo da importância de usar software antivírus confiável.
Considerando a vida útil total da vulnerabilidade identificada (tem sido relevante desde o lançamento da primeira versão vulnerável do software em 2014), identificação de possíveis fatos de exploração desta vulnerabilidade (e, de acordo, compromisso de infraestrutura) está se tornando relevante em retrospecto.