В сфере кибербезопасности появилась новая серьезная угроза: исследователи обнаружили критическую уязвимость в продуктах Citrix NetScaler ADC и NetScaler Gateway, получившую обозначение CVE-2025-5777. Данная проблема, известная как Citrix Bleed 2, представляет собой значительный риск для организаций, использующих эти решения для обеспечения сетевой безопасности.
Техническая характеристика уязвимости Citrix Bleed 2
Новая уязвимость получила название Citrix Bleed 2 из-за схожести с печально известной проблемой 2023 года (CVE-2023-4966), которая активно эксплуатировалась различными хакерскими группировками, включая операторов программ-вымогателей и государственных акторов угроз.
Уязвимость связана с out-of-bounds чтением и затрагивает устройства NetScaler, настроенные в качестве шлюза. Особенно уязвимыми являются конфигурации с виртуальными серверами VPN, ICA Proxy, Clientless VPN (CVPN), RDP Proxy или виртуальными серверами AAA.
Механизм эксплуатации уязвимости
Согласно техническим анализам компаний watchTowr и Horizon3, злоумышленники могут эксплуатировать уязвимость путем отправки специально сформированных POST-запросов при попытках входа в систему. Ключевой особенностью атаки является модификация параметра login= таким образом, чтобы он передавался без знака равенства или значения.
В результате такого запроса устройство NetScaler раскрывает содержимое памяти до первого нулевого байта в секции InitialValue ответа. Причиной уязвимости является некорректное использование функции snprintf совместно со строкой формата %.*s, что приводит к утечке данных из памяти.
Масштаб угрозы и возможности атакующих
При каждом запросе происходит утечка примерно 127 байт данных, однако атакующие могут выполнять повторные запросы для извлечения дополнительной информации. Исследователи Horizon3 успешно продемонстрировали возможность кражи токенов пользовательских сессий, что открывает широкие возможности для несанкционированного доступа к корпоративным системам.
Особую обеспокоенность вызывает тот факт, что доказательства концепции (PoC) эксплоитов уже появились в открытом доступе, что значительно снижает барьер для потенциальных атак.
Свидетельства активной эксплуатации
Несмотря на заявления представителей Citrix об отсутствии подтвержденных случаев эксплуатации, независимые исследователи сообщают о противоположном. Эксперт по кибербезопасности Кевин Бомонт утверждает, что уязвимость активно эксплуатируется с середины июня, а компания ReliaQuest предупреждала о подозрительной активности еще в конце прошлого месяца.
Меры по устранению угрозы
Разработчики Citrix оперативно выпустили исправления для устранения уязвимости. Компания настоятельно рекомендует администраторам не только установить обновления, но и завершить все активные сеансы ICA и PCoIP после применения патчей. Данная мера необходима для блокировки доступа к потенциально скомпрометированным сеансам.
Организациям следует немедленно провести инвентаризацию своих NetScaler-устройств и приоритизировать установку обновлений безопасности. Дополнительно рекомендуется усилить мониторинг сетевого трафика и журналов аутентификации для выявления возможных признаков эксплуатации уязвимости.
Появление Citrix Bleed 2 подчеркивает критическую важность своевременного обновления сетевых устройств и постоянного мониторинга угроз кибербезопасности. Организациям необходимо разработать четкие процедуры реагирования на подобные инциденты и регулярно проводить оценку безопасности своей IT-инфраструктуры для минимизации рисков успешных кибератак.
