Свежая уязвимость в Citrix NetScaler ADC и NetScaler Gateway получила название Citrix Bleed 2, потому что схожа с проблемой 2023 года, которая позволяла неаутентифицированным злоумышленникам перехватывать cookie сеанса аутентификации на уязвимых устройствах.
На прошлой неделе компания Citrix опубликовала бюллетень безопасности, предупреждающий об уязвимостях CVE-2025-5777 и CVE-2025-5349, которые затрагивают NetScaler ADC и NetScaler Gateway версий до 14.1-43.56, релизы до 13.1-58.32, а также 13.1-37.235-FIPS/NDcPP и 2.1-55.328-FIPS.
CVE-2025-5777 представляет собой критическую уязвимость, связанную с out-of-bounds чтением. Проблема позволяет неаутентифицированным атакующим получить доступ к участкам памяти, к которым они не должны иметь доступа.
Баг затрагивает устройства NetScaler, настроенные в качестве шлюза: виртуальный сервер VPN, ICA Proxy, Clientless VPN (CVPN), RDP Proxy или виртуальный сервер AAA.
Как сообщил известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont), эта проблема перекликается с печально известной уязвимостью Citrix Bleed (CVE-2023-4966), которая несколько лет назад активно использовалась хакерами, включая вымогателей и «правительственные» группировки.
Бомонт описывает CVE-2025-5777 как «Citrix Bleed 2», заявляя, что эта проблема тоже позволяет получить доступ к токенам сеансов, учетным данным и другим конфиденциальным данным с публичных шлюзов и виртуальных серверов. Подчеркивается, что утечка токенов может привести к перехвату пользовательских сессий и обходу многофакторной аутентификации.
Эксперт предупреждает, что в настоящее время в сети доступны более 56 500 эндпоинтов NetScaler ADC и NetScaler Gateway, хотя неизвестно, какой процент из них уязвим перед CVE-2025-5349 и CVE-2025-5777.
Вторая уязвимость, CVE-2025-5349, представляет собой проблему контроля доступа в интерфейсе управления NetScaler Management Interface. Этот баг можно использовать, если злоумышленник уже имеет доступ к NSIP (NetScaler Management IP), Cluster Management IP или Local GSLB Site IP.
Для устранения обоих рисков пользователям рекомендуется как можно скорее установить NetScaler ADC и NetScaler Gateway 14.1-43.56, 13.1-58.32 и более новых версий, а также 13.1-NDcPP 13.1-37.235 (FIPS) и 12.1-55.328 (FIPS).
Хотя в Citrix не сообщают о случаях успешной эксплуатации уязвимостей, компания рекомендует администраторам завершить все активные сеансы ICA и PCoIP после обновления. Аналогичный совет Citrix давала в отношении оригинальной Citrix Bleed.
При этом перед завершением активных сеансов администраторам рекомендуется сначала изучить существующие сеансы на предмет подозрительной активности с помощью команды show icaconnection и NetScaler Gateway -> PCoIP -> Connections для просмотра сеансов PCoIP.
