Уязвимость в ПО Citrix позволяет проникнуть в сети 80 тыс. компаний

Уязвимость в ПО Citrix позволяет проникнуть в сети 80 тыс. компаний

Уязвимость в ПО Citrix позволяет проникнуть в сети 80 тыс. компаний

Эксперт Positive Technologies Михаил Ключников обнаружил критическую уязвимость в Citrix Application Delivery Controller (NetScaler ADС) и Citrix Gateway (NetScaler Gateway). В случае ее эксплуатации злоумышленник получает прямой доступ в локальную сеть компании из интернета. Для проведения такой атаки не требуется доступ к каким-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель.

В ходе мониторинга актуальных угроз (threat intelligence) эксперты Positive Technologies установили, что потенциально уязвимы не менее 80 000 компаний из 158 стран. В ТОП-5 по количеству таких организаций входят Соединенные Штаты Америки (абсолютный лидер — более 38% всех уязвимых организаций расположены на территории США), Германия, Великобритания, Нидерланды, Австралия. Россия находится на 26-м месте рейтинга по общему числу потенциально уязвимых компаний различных секторов бизнеса — всего более 300 организаций, в том числе входящих в список крупнейших компаний России по версии РБК. Казахстан и Беларусь находятся на 44-м и 45-м местах по числу уязвимых компаний соответственно.

Выявленной уязвимости присвоен идентификатор CVE-2019-19781, официально вендор пока не присвоил ей уровень опасности по шкале CVSS, однако, по экспертной оценке специалистов Positive Technologies, данная уязвимость соответствует наивысшему, 10-му уровню опасности. Ей подвержены все поддерживаемые версии продукта и все поддерживаемые платформы, в том числе Citrix ADC и Citrix Gateway версии 13.0, Citrix ADC и NetScaler Gateway версии 12.1, Citrix ADC и NetScaler Gateway версии 12.0, Citrix ADC и NetScaler Gateway версии 11.1, а также Citrix NetScaler ADC и NetScaler Gateway версии 10.5. В зависимости от конкретной конфигурации, приложения Citrix могут использоваться для подключения к рабочим компьютерам и критически важным бизнес-системам (в том числе таких классов, как ERP). Практически во всех случаях приложения Citrix доступны на периметре сети компании, а значит, подвержены атакам в первую очередь. Данная уязвимость позволяет внешнему неавторизованному злоумышленнику не только получить доступ к опубликованным приложениям, но и проводить атаки с сервера Citrix на другие ресурсы внутренней сети атакуемой компании. Компания Citrix выпустила комплекс мер, направленных на компенсацию данной уязвимости, а также настаивает на незамедлительном обновлении всех уязвимых версий ПО до рекомендуемых.

«Приложения Citrix широко применяются в корпоративных сетях, в том числе для организации терминального доступа сотрудников к внутренним приложениям компании с любого устройства через интернет. Учитывая высокий уровень риска выявленной уязвимости и распространенность ПО Citrix в бизнес-среде, мы рекомендуем службам ИБ принять незамедлительные меры по устранению угрозы, — отмечает Дмитрий Серебрянников, директор департамента анализа защищенности Positive Technologies. — Отдельно хотим отметить высокую оперативность работы вендора, который сформировал и опубликовал комплекс мер по снижению рисков буквально за две недели с момента выявления уязвимости. Наш опыт показывает, что этот период в ряде случаев может растягиваться до месяцев».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Silent Werewolf подкидывает шпионский стилер под видом защиты от атак

Каждая пятая кибератака на российские компании связана с кибершпионажем — цель злоумышленников не навредить, а незаметно вытащить ценные данные. При этом всё чаще используется самописный софт, нестандартные методы и ухищрения, чтобы усложнить работу аналитикам.

Весной 2025 года специалисты BI.ZONE зафиксировали две новые атаки группировки Silent Werewolf. Как обычно, группа «переоделась» — под каждую кампанию был разработан свой уникальный загрузчик, предназначенный для установки шпионской программы.

Фишинг с элементами иронии

Основным каналом доставки снова стали фишинговые письма, причем отправленные от имени реально существующих компаний. Некоторые жертвы получили вредоносный файл под видом… рекомендаций по кибербезопасности.

Сценарий был такой: если файл запускался на устройстве, принадлежащем интересной хакерам организации, он загружал вредоносную нагрузку. А если тот же файл попадал в руки исследователей или запускался в песочнице, вместо зловреда подгружался безобидный файл языковой модели LLaMA. Такой трюк затруднял анализ.

К началу расследования основная инфраструктура атаки уже была уничтожена — злоумышленники замели следы. Тем не менее, согласно характеру действий, эксперты предположили, что использовался самописный стилер XDigo, уже ранее связанный с этой группировкой.

Одна из мартовских кампаний была ориентирована исключительно на российские компании. Вторая — на организации в Молдове. Всего атаки были направлены примерно на 80 организаций, в том числе из таких отраслей, как атомная энергетика, авиа-, приборо- и машиностроение.

Как защититься

Более половины атак начинается с фишинговых писем, и это остаётся самой уязвимой точкой. Поэтому фильтрация входящей корреспонденции и внимательность при работе с вложениями остаются ключевыми мерами безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru