По данным специалистов ReliaQuest, критическая уязвимость Citrix Bleed 2 (CVE-2025-5777) уже может использоваться в атаках. Исследователи наблюдают рост числа подозрительных сессий на устройствах Citrix.
Напомним, что свежая уязвимость в Citrix NetScaler ADC и NetScaler Gateway получила название Citrix Bleed 2, потому что схожа с проблемой 2023 года, которая позволяла неаутентифицированным злоумышленникам перехватывать cookie сеанса аутентификации на уязвимых устройствах.
Связанный с out-of-bounds чтением баг затрагивает устройства NetScaler, настроенные в качестве шлюза: виртуальный сервер VPN, ICA Proxy, Clientless VPN (CVPN), RDP Proxy или виртуальный сервер AAA.
Как объяснял известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont), давший название новой проблеме, она перекликается с печально известной уязвимостью Citrix Bleed (CVE-2023-4966), которая несколько лет назад активно использовалась хакерами, включая вымогателей и «правительственные» группировки.
Бомонт описал CVE-2025-5777 как «Citrix Bleed 2», заявляя, что эта проблема тоже позволяет получить доступ к токенам сеансов, учетным данным и другим конфиденциальным данным с публичных шлюзов и виртуальных серверов. А утечка токенов может привести к перехвату пользовательских сессий и обходу многофакторной аутентификации.
Разработчики Citrix уже выпустили патчи и настоятельно рекомендовали администраторам завершить все активные сеансы ICA и PCoIP после обновления, чтобы заблокировать потенциальным злоумышленникам доступ к любым перехваченным сеансам. Аналогичный совет Citrix давала в отношении оригинальной Citrix Bleed.
Как теперь сообщают специалисты из ReliaQuest, проблема CVE-2025-5777 может использоваться в целевых атаках.
«Хотя о публичной эксплуатации CVE-2025-5777, получившей название Citrix Bleed 2, пока не сообщалось, ReliaQuest со средней степенью уверенности полагает, что злоумышленники активно используют эту уязвимость для получения первоначального доступа к целевым средам», — предупреждают эксперты.
Выводы о начавшихся атаках основаны на результатах следующих наблюдений:
- были замечены перехваченные веб-сессии Citrix, в которых аутентификация осуществлялась без взаимодействия с пользователем, что указывает на то, что злоумышленники обходят мультифакторную аутентификацию, используя украденные сессионные токены;
- злоумышленники повторно использовали одну и ту же сессию Citrix как с легитимных, так и с подозрительных IP-адресов, что указывает на перехват сессии;
- после получения доступа были инициированы запросы LDAP, то есть атакующие изучали Active Directory для определения пользователей, групп и разрешений;
- несколько экземпляров ADExplorer64.exe запускались в разных системах, что свидетельствует о скоординированной разведке, изучении домена и попытках подключения к различным контроллерам домена;
- сессии Citrix исходили с IP-адресов дата-центров, связанных с VPN-провайдерами (например DataCamp), что свидетельствует о маскировке злоумышленников с помощью анонимной инфраструктуры.
Исследователи напоминают, что для защиты от атак на Citrix Bleed 2 следует как можно скорее обновиться до версий 14.1-43.56+, 13.1-58.32+ и 13.1-FIPS/NDcPP 13.1-37.235+.
