Citrix-systemen van westerse overheden zijn in mei voorzien van een backdoor, een maand voordat een beveiligingsupdate beschikbaar kwam om de gebruikte kwetsbaarheid te verhelpen, zo stelt de Britse beveiligingsonderzoeker Kevin Beaumont. In een analyse kijkt Beaumont naar een backdoor die bij verschillende, niet nader genoemde westerse overheden en juridische instellingen werd geplaatst.

Volgens de onderzoeker is de backdoor waarschijnlijk het werk van een groep aanvallers genaamd Volt Typhoon, die zich met spionage bezighoudt. Details over de gebruikte kwetsbaarheid zijn schaars, aldus Beaumont. "De campagne begon met een kwetsbaarheid in getAuthenticationRequirements.do. Het lijkt erop dat die sindsdien door Citrix is gepatcht... maar er zijn geen technische indicatoren gegeven waarmee organisaties in hun Netscaler web access logs naar aanvallers kunnen zoeken, en beveiligingsleveranciers hebben geen technische analyses gepubliceerd."

De onderzoeker stelt aanvullend dat de backdoor na het patchen op het systeem aanwezig blijft. "Citrix verborg eigenlijk het bestaan van de backdoor voor klanten, en besloot het bestaan van de backdoor of technische details niet publiekelijk te maken. Ze hebben ook alleen onder non-disclosure agreements technische scripts aan klanten verstrekt." Via de backdoor blijven de aanvallers toegang tot gecompromitteerde systemen behouden en kunnen dan verdere aanvallen uitvoeren.

"Dit is een serieuze aanvaller die veel middelen investeert om toegang tot organisaties te behouden via het product dat ze eigenlijk zou moeten beschermen. Het is eigenlijk een alles of niets moment voor het product", aldus Beaumont. "En waarschijnlijk weer een nieuwe waarschuwing in de kolenmijn van leveranciers dat netwerkbeveiligingsapparatuur op een niet eerder waargenomen schaal wordt gereverse engineered." Volgens Beaumont moet er meer aandacht komen voor de veiligheid van edge devices en moeten securitybedrijven uitgebreider naar Citrix kijken.