Хотя некоторые из уязвимостей могут быть использованы удаленно без аутентификации, поставщик отметил, что для эксплуатации многих проблем требуется доступ к целевой системе, взаимодействие с пользователем или другие предварительные условия.
Как сообщил специалист Citrix Фермин Дж. Серна (Fermin J. Serna) в блоге компании, недавно обнаруженные уязвимости менее опасны по сравнению с критической проблемой (CVE-2019-19781), выявленной в декабре прошлого года. По словам Серна, новые проблемы полностью устраняются исправлениями, в отличие от CVE-2019-19781, для которой компания изначально выпустила только временные меры предотвращения эксплуатации уязвимости.
Специалист Технологического института SANS Йоханнес Ульрих (Johannes Ullrich) сообщил , что его ханипот, разработанный для перехвата атак на системы BIG-IP компании F5 Networks, зафиксировал попытки эксплуатации двух недавно обнаруженных уязвимостей в продуктах Citrix. Злоумышленники пытались скачать файлы и получить доступ к конфиденциальной информации. Как предполагает эксперт, атаки были совершены в рамках сканирования сети на предмет уязвимых систем Citrix. Остается неизвестным, какие из 11 проблем являются целевыми, но Ульрих считает наиболее вероятными кандидатами CVE-2020-8195 и CVE-2020-8196. Обе проблемы представляют собой уязвимости раскрытия информации, а их эксплуатация требует проверки подлинности по NSIP — IP-адресу, по которому устройство Citrix ADC может быть доступно для управления.