Ondanks de beschikbaarheid van beveiligingsupdates en mitigatiemaatregelen zijn wereldwijd nog duizenden bedrijven met Citrix-systemen kwetsbaar. Dat stelt Positive Technologies, het securitybedrijf dat de kwetsbaarheid in Citrix ontdekte en op 23 december vorig jaar publiceerde.

Volgens onderzoekers van het bedrijf liepen op 23 december 80.000 bedrijven in 158 landen risico door een ernstig beveiligingslek in de Citrix-software. Inmiddels zijn we anderhalve maand verder en heeft Citrix beveiligingsupdates voor de kwetsbaarheid uitgebracht. Toch zijn nog zo'n 15.000 organisaties kwetsbaar omdat ze geen updates hebben geïnstalleerd of mitigatiemaatregelen hebben doorgevoerd, aldus Positive Technologies. Dat komt neer op negentien procent van de organisaties die in eerste instantie risico liep.

In Brazilië is zelfs 43 procent van de oorspronkelijk kwetsbare organisaties nog steeds kwetsbaar, gevolgd door China (39 procent), Rusland (35 procent), Frankrijk (34 procent), Italië (33 procent) en Spanje (25 procent). Als er wordt gekeken naar de landen met het absolute aantal kwetsbare organisaties dan staat de Verenigde Staten bovenaan met meer dan 6500 bedrijven. In Nederland gaat het volgens Positive Technologies nog om 150 bedrijven die kwetsbare Citrix-systemen hebben staan.

Het Nationaal Cyber Security Centrum (NCSC) liet eerder weten dat al deze organisaties ervan uit moeten gaan dat hun systemen zijn gecompromitteerd. Beveiligingsonderzoeker Victor Gevers, die een spreadsheet van kwetsbare systemen bijhoudt, telde op 3 februari nog meer dan 8100 kwetsbare Citrix-systemen wereldwijd.