Експерти з кібербезпеки виявили нову критичну загрозу для корпоративної інфраструктури — уразливість CVE-2025-5777 у продуктах Citrix NetScaler ADC та NetScaler Gateway. Проблема, яка отримала назву Citrix Bleed 2, становить серйозний ризик для організацій, що покладаються на ці рішення для забезпечення мережевої безпеки та управління доступом.
Характеристики уразливості CVE-2025-5777
Нова вразливість має багато спільного з Citrix Bleed (CVE-2023-4966), яка у 2023 році активно експлуатувалась кіберзлочинцями та державними хакерськими групами. Citrix Bleed 2 базується на проблемі читання поза межами буфера (out-of-bounds reading) та впливає на пристрої NetScaler, налаштовані як шлюзи.
Найбільш уразливими є конфігурації з віртуальними серверами VPN, ICA Proxy, Clientless VPN (CVPN), RDP Proxy або віртуальними серверами AAA. Ці компоненти широко використовуються в корпоративних мережах для забезпечення віддаленого доступу та автентифікації користувачів.
Механізм атаки через модифіковані POST-запити
Дослідження компаній watchTowr та Horizon3 показали, що зловмисники можуть експлуатувати уразливість через спеціально сформовані POST-запити під час спроб входу в систему. Ключовим елементом атаки є модифікація параметра login= таким чином, щоб він передавався без знака рівності або значення.
Такий запит призводить до того, що пристрій NetScaler розкриває вміст пам’яті до першого нульового байта в секції InitialValue відповіді. Причиною проблеми є некоректне використання функції snprintf разом із рядком формату %.*s, що створює можливість для витоку даних.
Масштаби загрози та можливості зловмисників
При кожному запиті відбувається витік приблизно 127 байт даних, однак атакувальники можуть виконувати повторні запити для отримання додаткової інформації. Дослідники Horizon3 успішно продемонстрували можливість викрадення токенів користувацьких сесій, що відкриває широкі можливості для несанкціонованого доступу до корпоративних систем.
Особливо тривожним є факт появи доказів концепції (PoC) експлойтів у відкритому доступі, що значно знижує технічний бар’єр для потенційних атак та збільшує ймовірність масової експлуатації уразливості.
Свідчення активної експлуатації в дикій природі
Незважаючи на офіційні заяви представників Citrix про відсутність підтверджених випадків експлуатації, незалежні дослідники повідомляють про протилежне. Експерт з кібербезпеки Кевін Бомонт стверджує, що уразливість активно експлуатується з середини червня, а компанія ReliaQuest попереджала про підозрілу активність ще в кінці минулого місяця.
Рекомендації щодо усунення загрози
Розробники Citrix оперативно випустили виправлення для усунення уразливості. Компанія наполегливо рекомендує адміністраторам не лише встановити оновлення, але й завершити всі активні сеанси ICA та PCoIP після застосування патчів. Ця міра необхідна для блокування доступу до потенційно скомпрометованих сеансів.
Організаціям слід негайно провести інвентаризацію своїх NetScaler-пристроїв та пріоритизувати встановлення оновлень безпеки. Додатково рекомендується посилити моніторинг мережевого трафіку та журналів автентифікації для виявлення можливих ознак експлуатації уразливості.
Поява Citrix Bleed 2 підкреслює критичну важливість своєчасного оновлення мережевих пристроїв та постійного моніторингу загроз кібербезпеки. Організаціям необхідно розробити чіткі процедури реагування на подібні інциденти та регулярно проводити оцінку безпеки своєї IT-інфраструктури для мінімізації ризиків успішних кібератак.
