Citrix Bleed 2 CVE-2025-5777: Критическая уязвимость активно эксплуатируется киберпреступниками

CyberSecureFox 🦊

Специалисты по кибербезопасности из компании ReliaQuest зафиксировали активную эксплуатацию критической уязвимости Citrix Bleed 2 (CVE-2025-5777) в реальных атаках. Данная угроза затрагивает популярные корпоративные решения Citrix NetScaler ADC и NetScaler Gateway, что создает серьезные риски для организаций по всему миру.

Техническая природа уязвимости Citrix Bleed 2

Новая уязвимость получила название Citrix Bleed 2 благодаря своему сходству с печально известной проблемой CVE-2023-4966, которая активно эксплуатировалась хакерскими группировками в 2023 году. Термин был введен признанным экспертом по информационной безопасности Кевином Бомонтом (Kevin Beaumont), который первым провел детальный анализ данной угрозы.

CVE-2025-5777 представляет собой out-of-bounds чтение — тип уязвимости, при которой программа получает доступ к данным за пределами выделенного буфера памяти. Это позволяет неаутентифицированным злоумышленникам перехватывать конфиденциальную информацию, включая cookie сеансов аутентификации пользователей.

Затронутые системы и конфигурации

Уязвимость затрагивает устройства NetScaler, настроенные в качестве шлюзов со следующими конфигурациями:

• Виртуальные серверы VPN
• ICA Proxy
• Clientless VPN (CVPN)
• RDP Proxy
• Виртуальные серверы AAA

Механизм атаки и потенциальные последствия

Эксплуатация CVE-2025-5777 позволяет киберпреступникам получить несанкционированный доступ к критически важным данным. Злоумышленники могут перехватывать токены сеансов, учетные данные пользователей и другую конфиденциальную информацию с публичных шлюзов и виртуальных серверов.

Особую опасность представляет возможность обхода многофакторной аутентификации (MFA). После получения токенов сеансов атакующие могут выдавать себя за легитимных пользователей, получая полный доступ к корпоративным ресурсам без необходимости знания паролей или прохождения дополнительных проверок безопасности.

Доказательства активной эксплуатации

Исследователи ReliaQuest сообщают о значительном росте числа подозрительных сессий на устройствах Citrix в последние недели. Хотя публичных отчетов о массовых атаках пока не поступало, эксперты выражают среднюю степень уверенности в том, что уязвимость активно используется для получения первоначального доступа к целевым корпоративным средам.

Подобная картина наблюдалась и в случае с оригинальной Citrix Bleed, которая впоследствии использовалась группировками ransomware и государственными хакерскими группами для проведения масштабных кибератак.

Меры защиты и рекомендации по обновлению

Компания Citrix оперативно выпустила исправления безопасности для устранения уязвимости. Администраторам настоятельно рекомендуется немедленно обновить системы до следующих версий:

• NetScaler ADC и Gateway версия 14.1-43.56 и выше
• NetScaler ADC и Gateway версия 13.1-58.32 и выше
• NetScaler ADC и Gateway FIPS/NDcPP версия 13.1-37.235 и выше

Дополнительные меры безопасности

После установки обновлений критически важно завершить все активные сеансы ICA и PCoIP. Данная мера предотвратит возможность использования злоумышленниками ранее скомпрометированных сеансов для продолжения атак.

Появление Citrix Bleed 2 подчеркивает важность проактивного подхода к кибербезопасности. Организациям следует регулярно обновлять критически важные системы, мониторить подозрительную активность и внедрять многоуровневые системы защиты. Только комплексный подход к безопасности может обеспечить надежную защиту от современных киберугроз.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.