Mi-décembre, la société publiait un bulletin d’alerte inquiétant : « une vulnérabilité a été identifiée dans Citrix Application Delivery Controller (ADC) – anciennement connue sous le nom NetScaler ADC – et Citrix Gateway – anciennement connue sous le nom NetScaler Gateway – qui, si elle était exploitée, permettrait à un pirate non authentifié d'exécuter du code arbitraire ».

Elle concerne les applications « Citrix ADC et Gateway Virtual Appliances (VPX) hébergées sur n’importe quel Citrix Hypervisor (anciennement XenServer), ESX, Hyper-V, KVM, Azure, AWS, GCP ou sur Citrix ADC Service Delivery Appliance (SDX) ». Citrix SDWAN, et en particulier Citrix SDWAN WANOP edition, sont également concernés.

On pouvait donc s’attendre à ce que la société corrige rapidement cette brèche géante, mais cela n’a pas été le cas. À la place, il fallait se contenter de mesures d’atténuation. Bien évidemment, la divulgation des détails de la faille a attiré les pirates de tout bord qui s’en sont rapidement donné à cœur joie. 

Il a fallu attendre le 19 janvier pour que les versions 11.1 et 12.0 de Citrix ADC et Gateway aient droit à un correctif. Les moutures 10.5, 12.1 et 13.0 ainsi que Citrix SD-WAN WANOP 10.2.6 et 11.0.3 doivent pour leur part encore attendre le 24 janvier. La société n’explique pas pourquoi le délai est aussi long.