Специалисты по кибербезопасности из компании ReliaQuest зафиксировали активную эксплуатацию критической уязвимости Citrix Bleed 2 (CVE-2025-5777) в реальных атаках. Данная угроза затрагивает популярные корпоративные решения Citrix NetScaler ADC и NetScaler Gateway, что создает серьезные риски для организаций по всему миру.
Техническая природа уязвимости Citrix Bleed 2
Новая уязвимость получила название Citrix Bleed 2 благодаря своему сходству с печально известной проблемой CVE-2023-4966, которая активно эксплуатировалась хакерскими группировками в 2023 году. Термин был введен признанным экспертом по информационной безопасности Кевином Бомонтом (Kevin Beaumont), который первым провел детальный анализ данной угрозы.
CVE-2025-5777 представляет собой out-of-bounds чтение — тип уязвимости, при которой программа получает доступ к данным за пределами выделенного буфера памяти. Это позволяет неаутентифицированным злоумышленникам перехватывать конфиденциальную информацию, включая cookie сеансов аутентификации пользователей.
Затронутые системы и конфигурации
Уязвимость затрагивает устройства NetScaler, настроенные в качестве шлюзов со следующими конфигурациями:
• Виртуальные серверы VPN
• ICA Proxy
• Clientless VPN (CVPN)
• RDP Proxy
• Виртуальные серверы AAA
Механизм атаки и потенциальные последствия
Эксплуатация CVE-2025-5777 позволяет киберпреступникам получить несанкционированный доступ к критически важным данным. Злоумышленники могут перехватывать токены сеансов, учетные данные пользователей и другую конфиденциальную информацию с публичных шлюзов и виртуальных серверов.
Особую опасность представляет возможность обхода многофакторной аутентификации (MFA). После получения токенов сеансов атакующие могут выдавать себя за легитимных пользователей, получая полный доступ к корпоративным ресурсам без необходимости знания паролей или прохождения дополнительных проверок безопасности.
Доказательства активной эксплуатации
Исследователи ReliaQuest сообщают о значительном росте числа подозрительных сессий на устройствах Citrix в последние недели. Хотя публичных отчетов о массовых атаках пока не поступало, эксперты выражают среднюю степень уверенности в том, что уязвимость активно используется для получения первоначального доступа к целевым корпоративным средам.
Подобная картина наблюдалась и в случае с оригинальной Citrix Bleed, которая впоследствии использовалась группировками ransomware и государственными хакерскими группами для проведения масштабных кибератак.
Меры защиты и рекомендации по обновлению
Компания Citrix оперативно выпустила исправления безопасности для устранения уязвимости. Администраторам настоятельно рекомендуется немедленно обновить системы до следующих версий:
• NetScaler ADC и Gateway версия 14.1-43.56 и выше
• NetScaler ADC и Gateway версия 13.1-58.32 и выше
• NetScaler ADC и Gateway FIPS/NDcPP версия 13.1-37.235 и выше
Дополнительные меры безопасности
После установки обновлений критически важно завершить все активные сеансы ICA и PCoIP. Данная мера предотвратит возможность использования злоумышленниками ранее скомпрометированных сеансов для продолжения атак.
Появление Citrix Bleed 2 подчеркивает важность проактивного подхода к кибербезопасности. Организациям следует регулярно обновлять критически важные системы, мониторить подозрительную активность и внедрять многоуровневые системы защиты. Только комплексный подход к безопасности может обеспечить надежную защиту от современных киберугроз.
