De software van Citrix, waarmee werknemers op afstand toegang tot bedrijfsapplicaties, systemen en andere zaken kunnen krijgen, wordt steeds vaker gebruikt als backdoor door aanvallers die al toegang tot het bedrijfsnetwerk hebben. Daarvoor waarschuwt het Amerikaanse beveiligingsbedrijf FireEye.

Het beveiligingsbedrijf komt naar eigen zeggen regelmatig bij gehackte organisaties verkeerd geconfigureerde Citrix-oplossingen tegen. Ook komt het vaak voor dat aanvallers gestolen inloggegevens van derde partijen gebruiken om op een Citrix-oplossing in te loggen. Vervolgens breken ze uit de Citrix-applicatie en krijgen zo toegang tot het onderliggende besturingssysteem. Daarvandaan bewegen ze zich lateraal door de bedrijfsomgeving en compromitteren andere systemen.

Niet alleen wordt Citrix gebruikt om toegang tot bedrijfsnetwerken te krijgen, aanvallers gebruiken de software ook steeds vaker als backdoor om toegang te behouden. "Onze ervaring laat zien dat aanvallers steeds vaker Citrix-oplossingen gebruiken om na een hack op afstand toegang tot de omgeving van het slachtoffer te krijgen, in plaats van traditionele backdoors, remote access tools of andere malware te gebruiken", zegt Tony Lee van FireEye.

Door het gebruik van een legitieme toegangstool zoals Citrix kunnen de aanvallers onder de radar blijven en niet opvallen. Het beveiligingsbedrijf heeft daarom samen met Citrix een handleiding (pdf) gemaakt waarin het beveiligen van Citrix-omgevingen wordt uitgelegd.