Onbekende aanvallers zijn erin geslaagd om een groot aantal organisaties via het beveiligingslek in Citrix te compromitteren, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid laten weten. Een exact aantal wordt echter niet genoemd.

Het gaat om organisaties die de beschikbare mitigatiemaatregelen van Citrix niet op tijd hebben doorgevoerd. "Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uitgaan dat uw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits", zo liet het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie eerder weten. Op 10 januari waren nog 115.000 Citrix-servers kwetsbaar voor aanvallen. Deze organisaties hebben het advies gekregen om een herstelplan op te stellen.

Het CISA waarschuwt dat het installeren van de beschikbaar gemaakte beveiligingsupdates niet voldoende is om al gecompromitteerde systemen te herstellen. "Zodra aanvallers toegang hebben verkregen blijven ze aanwezig, ook al is de originele aanvalsvector gesloten", aldus de Amerikaanse overheidsdienst. Het CISA heeft daarom technische details en andere informatie gegeven waarmee organisaties kunnen controleren of ze gecompromitteerd zijn. Eerder werd al bekend dat aanvallers het Citrix-lek gebruiken om organisaties met ransomware te infecteren en systemen met cryptominers te besmetten.