Фахівці з кібербезпеки компанії ReliaQuest оприлюднили тривожну інформацію про активну експлуатацію критичної уразливості CVE-2025-5777, відомої як Citrix Bleed 2. Ця загроза впливає на широко використовувані корпоративні рішення Citrix NetScaler ADC та NetScaler Gateway, створюючи суттєві ризики для організацій у всьому світі.
Характеристики уразливості CVE-2025-5777
Уразливість отримала назву Citrix Bleed 2 через схожість з попередньою критичною проблемою CVE-2023-4966, яка активно використовувалась хакерськими угрупованнями у 2023 році. Термін було введено експертом з інформаційної безпеки Кевіном Бомонтом, який провів детальний аналіз цієї загрози.
За своєю природою CVE-2025-5777 є уразливістю типу out-of-bounds читання, що дозволяє програмі отримувати доступ до даних поза межами виділеного буфера пам’яті. Це надає неавтентифікованим зловмисникам можливість перехоплювати конфіденційну інформацію, включаючи cookie сеансів автентифікації користувачів.
Уражені системи та конфігурації
Уразливість стосується пристроїв NetScaler, налаштованих як шлюзи з такими конфігураціями:
• Віртуальні сервери VPN
• ICA Proxy
• Clientless VPN (CVPN)
• RDP Proxy
• Віртуальні сервери AAA
Механізм атаки та можливі наслідки
Експлуатація CVE-2025-5777 дозволяє кіберзлочинцям отримати несанкціонований доступ до критично важливих даних. Атакуючі можуть перехоплювати токени сеансів, облікові дані користувачів та іншу конфіденційну інформацію з публічних шлюзів та віртуальних серверів.
Особливу небезпеку становить можливість обходу багатофакторної автентифікації (MFA). Після отримання токенів сеансів зловмисники можуть видавати себе за легітимних користувачів, отримуючи повний доступ до корпоративних ресурсів без необхідності знання паролів або проходження додаткових перевірок безпеки.
Докази активної експлуатації
Дослідники ReliaQuest повідомляють про значне зростання кількості підозрілих сесій на пристроях Citrix протягом останніх тижнів. Хоча публічних звітів про масові атаки поки не надходило, експерти висловлюють середню ступінь впевненості в тому, що уразливість активно використовується для отримання первинного доступу до цільових корпоративних середовищ.
Подібна картина спостерігалась і у випадку з оригінальною Citrix Bleed, яка згодом використовувалась угрупованнями ransomware та державними хакерськими групами для проведення масштабних кібератак.
Заходи захисту та рекомендації щодо оновлення
Компанія Citrix оперативно випустила виправлення безпеки для усунення уразливості. Адміністраторам настійно рекомендується негайно оновити системи до наступних версій:
• NetScaler ADC та Gateway версія 14.1-43.56 і вище
• NetScaler ADC та Gateway версія 13.1-58.32 і вище
• NetScaler ADC та Gateway FIPS/NDcPP версія 13.1-37.235 і вище
Додаткові заходи безпеки
Після встановлення оновлень критично важливо завершити всі активні сеанси ICA та PCoIP. Цей захід запобігає можливості використання зловмисниками раніше скомпрометованих сеансів для продовження атак.
Поява Citrix Bleed 2 підкреслює важливість проактивного підходу до кібербезпеки. Організаціям слід регулярно оновлювати критично важливі системи, моніторити підозрілу активність та впроваджувати багаторівневі системи захисту. Тільки комплексний підхід до безпеки може забезпечити надійний захист від сучасних кіберзагроз та мінімізувати ризики, пов’язані з експлуатацією критичних уразливостей.
