Фахівці з кібербезпеки виявили серйозну загрозу для корпоративної інфраструктури – нову критичну уразливість у продуктах Citrix NetScaler ADC та NetScaler Gateway. Експертне співтовариство вже окрестило цю загрозу як Citrix Bleed 2, посилаючись на схожість із руйнівною атакою 2023 року, яка завдала значних збитків організаціям по всьому світу.
Технічний аналіз уразливостей CVE-2025-5777 та CVE-2025-5349
Компанія Citrix оприлюднила екстрений бюлетень безпеки, що описує дві критичні вразливості, які становлять серйозну загрозу для мережевої безпеки. Головна уразливість CVE-2025-5777 являє собою проблему out-of-bounds читання, що дозволяє зловмисникам без авторизації отримувати доступ до захищених сегментів системної пам’яті.
Уразливість впливає на наступні версії NetScaler:
• Версії нижче 14.1-43.56
• Релізи до 13.1-58.32
• Спеціалізовані збірки 13.1-37.235-FIPS/NDcPP та 12.1-55.328-FIPS
Друга уразливість CVE-2025-5349 пов’язана з порушенням контролю доступу в NetScaler Management Interface. Ця проблема може бути використана атакуючими за умови наявності доступу до управляючих IP-адрес системи, що значно розширює вектори атак.
Масштаб загрози та потенційні наслідки для бізнесу
За даними дослідження експерта з інформаційної безпеки Кевіна Бомонта, у глобальній мережі наразі функціонують понад 56 500 кінцевих точок NetScaler ADC та NetScaler Gateway. Хоча точна кількість уразливих систем залишається невідомою, потенційний масштаб впливу викликає серйозні занепокоєння у професійному співтоваристві.
Особливу небезпеку становить можливість перехоплення токенів автентифікації та користувацьких сесій. Кіберзлочинці можуть отримати доступ до конфіденційних даних і обійти багатофакторну автентифікацію, що робить цю уразливість надзвичайно привабливою для організованих злочинних груп та державних хакерських угруповань.
Порівняння з оригінальною Citrix Bleed: уроки минулого
Нова уразливість демонструє вражаючу схожість із CVE-2023-4966, відомою як оригінальна Citrix Bleed. Попередня атака активно експлуатувалася різними угрупованнями, включаючи операторів програм-вимагачів та спонсоровані державами кіберграпи, завдавши мільярдних збитків світовій економіці.
Подібно до першої загрози, нова уразливість зачіпає пристрої NetScaler, налаштовані як шлюзи: віртуальні сервери VPN, ICA Proxy, Clientless VPN, RDP Proxy та віртуальні сервери AAA. Це означає, що під загрозою опиняються критично важливі компоненти корпоративної інфраструктури.
Практичні рекомендації щодо усунення загрози
Для захисту від нових уразливостей адміністраторам необхідно негайно оновити системи до наступних версій:
• NetScaler ADC та NetScaler Gateway 14.1-43.56 або новіших
• Версія 13.1-58.32 або пізніші релізи
• Спеціалізовані збірки 13.1-NDcPP 13.1-37.235 (FIPS) та 12.1-55.328 (FIPS)
Додаткові заходи безпеки після встановлення патчів
Після встановлення оновлень Citrix рекомендує завершити всі активні сеанси ICA та PCoIP. Перед цим адміністраторам слід проаналізувати існуючі підключення на предмет підозрілої активності, використовуючи команду show icaconnection та інтерфейс NetScaler Gateway для перегляду PCoIP-сесій.
Хоча компанія Citrix поки що не повідомляє про випадки активної експлуатації цих уразливостей у реальних умовах, історія з оригінальною Citrix Bleed наочно демонструє, що зволікання з встановленням патчів може мати катастрофічні наслідки. Організаціям настійно рекомендується розглядати дане оновлення як критично важливе та виконати його в найкоротші терміни для забезпечення надійного захисту корпоративної інфраструктури від потенційних кібератак та збереження репутації бізнесу.
