Duizenden Citrix Application Delivery Controller (ADC) en Gateway endpoints blijven kwetsbaar voor twee kritieke beveiligingsfouten die het bedrijf de afgelopen maanden bekend heeft gemaakt.
De problemen in kwestie zijn CVE-2022-27510 en CVE-2022-27518 (CVSS-scores: 9,8), die respectievelijk op 8 november en 13 december 2022 door de leverancier van virtualisatiediensten werden aangepakt.
Terwijl CVE-2022-27510 betrekking heeft op een authenticatie-bypass die kan worden misbruikt om ongeautoriseerde toegang te krijgen tot de mogelijkheden van Gateway-gebruikers, betreft CVE-2022-27518 een remote code execution bug die de overname van getroffen systemen mogelijk kan maken.
Volgens een nieuwe analyse van het Fox-IT onderzoeksteam van NCC Group zijn duizenden Citrix servers die op internet draaien nog steeds niet gepatcht, waardoor ze een aantrekkelijk doelwit vormen voor hackers.
Dit omvat meer dan 3.500 Citrix ADC en Gateway servers met versie 12.1-65.21 die gevoelig zijn voor CVE-2022-27518, evenals meer dan 500 servers met 12.1-63.22 die kwetsbaar zijn voor beide gebreken.
Een meerderheid van de servers, niet minder dan 5.000, draaien 13.0-88.14, een versie die immuun is voor CVE-2022-27510 en CVE-2022-27518.
Uit een uitsplitsing per land blijkt dat meer dan 40% van de servers in Denemarken, Nederland, Oostenrijk, Duitsland, Frankrijk, Singapore, Australië, het Verenigd Koninkrijk en de Verenigde Staten zijn bijgewerkt. China is het slechtst af: daar is slechts 20% van de bijna 550 servers gepatcht.
