Специалисты по кибербезопасности обнаружили новую критическую уязвимость в продуктах Citrix NetScaler ADC и NetScaler Gateway, которая получила неофициальное название Citrix Bleed 2. Данная угроза напоминает печально известную атаку 2023 года и создает серьезные риски для корпоративных сетей по всему миру.
Детали новых уязвимостей CVE-2025-5777 и CVE-2025-5349
Компания Citrix выпустила экстренный бюллетень безопасности, описывающий две критические уязвимости. Основная угроза CVE-2025-5777 представляет собой проблему out-of-bounds чтения, позволяющую неавторизованным злоумышленникам получать доступ к защищенным областям памяти системы.
Уязвимость затрагивает следующие версии NetScaler:
• Версии до 14.1-43.56
• Релизы до 13.1-58.32
• Специализированные сборки 13.1-37.235-FIPS/NDcPP и 2.1-55.328-FIPS
Вторая уязвимость CVE-2025-5349 связана с нарушением контроля доступа в интерфейсе управления NetScaler Management Interface. Эта проблема может быть использована злоумышленниками при наличии доступа к управляющим IP-адресам системы.
Масштаб угрозы и потенциальные последствия
Эксперт по информационной безопасности Кевин Бомонт провел анализ и выявил, что в настоящее время в глобальной сети доступны более 56 500 конечных точек NetScaler ADC и NetScaler Gateway. Точное количество уязвимых систем остается неизвестным, но потенциальный масштаб воздействия вызывает серьезные опасения.
Особую опасность представляет возможность перехвата токенов аутентификации и пользовательских сессий. Злоумышленники могут получить доступ к конфиденциальным данным и обойти многофакторную аутентификацию, что делает эту уязвимость крайне привлекательной для киберпреступников и государственных хакерских группировок.
Сходство с оригинальной Citrix Bleed
Новая уязвимость демонстрирует поразительное сходство с CVE-2023-4966, известной как оригинальная Citrix Bleed. Предыдущая атака активно эксплуатировалась различными группировками, включая операторов программ-вымогателей и спонсируемые государством кибергруппы.
Как и в случае с первоначальной угрозой, новая уязвимость затрагивает устройства NetScaler, настроенные в качестве шлюзов: виртуальные серверы VPN, ICA Proxy, Clientless VPN, RDP Proxy и виртуальные серверы AAA.
Рекомендации по устранению угрозы
Для защиты от новых уязвимостей администраторам необходимо немедленно обновить системы до следующих версий:
• NetScaler ADC и NetScaler Gateway 14.1-43.56 или новее
• Версия 13.1-58.32 или более поздние релизы
• Специализированные сборки 13.1-NDcPP 13.1-37.235 (FIPS) и 12.1-55.328 (FIPS)
Дополнительные меры безопасности
После установки обновлений Citrix рекомендует завершить все активные сеансы ICA и PCoIP. Перед этим администраторам следует проанализировать существующие подключения на предмет подозрительной активности, используя команду show icaconnection и интерфейс NetScaler Gateway для просмотра PCoIP-сессий.
Хотя компания Citrix пока не сообщает о случаях активной эксплуатации этих уязвимостей в реальных условиях, история с оригинальной Citrix Bleed показывает, что промедление с установкой патчей может иметь катастрофические последствия. Организациям рекомендуется рассматривать данное обновление как критически важное и выполнить его в кратчайшие сроки для защиты корпоративной инфраструктуры от потенциальных кибератак.
