В открытом доступе появились PoC-эксплоиты для критической уязвимости Citrix Bleed 2 (CVE-2025-5777). Исследователи предупреждают, что уязвимость можно легко эксплуатировать и похищать токены пользовательских сессий.
Свежая уязвимость в Citrix NetScaler ADC и NetScaler Gateway получила название Citrix Bleed 2, потому что схожа с проблемой 2023 года, которая позволяла неаутентифицированным злоумышленникам перехватывать cookie сеанса аутентификации на уязвимых устройствах.
Как объяснял известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont), давший название новой проблеме, она похожа н апечально известную уязвимость Citrix Bleed (CVE-2023-4966), которая несколько лет назад активно использовалась хакерами, включая вымогателей и «правительственные» группировки.
Связанный с out-of-bounds чтением баг затрагивает устройства NetScaler, настроенные в качестве шлюза: виртуальный сервер VPN, ICA Proxy, Clientless VPN (CVPN), RDP Proxy или виртуальный сервер AAA. Уязвимость позволяет злоумышленникам получать содержимое памяти, просто создавая умышленно искаженные POST-запросы при попытках входа в систему.
Разработчики Citrix выпустили патчи и настоятельно рекомендовали администраторам завершить все активные сеансы ICA и PCoIP после обновления, чтобы заблокировать потенциальным злоумышленникам доступ к любым перехваченным сеансам. Аналогичный совет Citrix давала в отношении оригинальной Citrix Bleed.
Как теперь рассказывают эксперты компаний watchTowr и Horizon3, опубликовавшие технические анализы уязвимости, проблему можно использовать, отправляя некорректные запросы на вход в систему, где параметр login= изменен таким образом, чтобы он передавался без знака равенства или значения. В результате устройство NetScaler отображает содержимое памяти до первого нулевого байта в секции <InitialValue></InitialValue> в теле ответа.
По словам исследователей, баг вызван использованием функции snprintf вместе со строкой формата, содержащей %.*s, что приводит к утечке данных из памяти. При каждом запросе происходит утечка около 127 байт. Но атакующие могут выполнять повторные запросы для извлечения дополнительных данных.
Специалисты Horizon3 продемонстрировали в видео, что уязвимость можно использовать для кражи токенов пользовательских сессий, хотя попытки исследователей watchTowr не увенчались успехом.
Хотя представители Citrix утверждают, что подтвержденных случаев эксплуатации Citrix Bleed 2 в реальных атаках пока нет, о подозрительной активности вокруг CVE-2025-5777 еще в конце прошлого месяца предупреждали эксперты из компании ReliaQuest.
Также заявления компании оспаривает уже упомянутый выше Кевин Бомонт. Исследователь пишет, что уязвимость активно эксплуатируется с середины июня, и злоумышленники применяют ее для извлечения данных из памяти и перехвата сессий.
«Служба поддержки Citrix не раскрывает никаких индикаторов компрометации и ошибочно утверждает (снова, как и в случае с оригинальной Citrix Bleed), что эксплоитов не существует. Citrix следует поработать в этом направлении, они вредят своим клиентам», — пишет Бомонт.
