У відкритому доступі з’явилися PoC-експлоїти для критичної вразливості Citrix Bleed 2 (CVE-2025-5777). Дослідники попереджають, що вразливість можна легко експлуатувати і викрадати токени користувацьких сесій.

Свіжа вразливість у Citrix NetScaler ADC і NetScaler Gateway дістала назву Citrix Bleed 2, тому що схожа на проблему 2023 року, яка давала змогу неавтентифікованим зловмисникам перехоплювати cookie сеансу автентифікації на вразливих пристроях.

Як пояснював відомий ІБ-експерт Кевін Бомонт (Kevin Beaumont), який дав назву новій проблемі, вона схожа на спочатку відому вразливість Citrix Bleed (CVE-2023-4966), яку кілька років тому активно використовували хакери, включно з здирниками та «урядовими» угрупованнями.

Пов’язаний з out-of-bounds читанням баг зачіпає пристрої NetScaler, налаштовані як шлюз: віртуальний сервер VPN, ICA Proxy, Clientless VPN (CVPN), RDP Proxy або віртуальний сервер AAA. Вразливість дає змогу зловмисникам отримувати вміст пам’яті, просто створюючи навмисне спотворені POST-запити під час спроб входу в систему.

Розробники Citrix випустили патчі і настійно рекомендували адміністраторам завершити всі активні сеанси ICA і PCoIP після оновлення, щоб заблокувати потенційним зловмисникам доступ до будь-яких перехоплених сеансів. Аналогічну пораду Citrix давала щодо оригінальної Citrix Bleed.

Хоча представники Citrix стверджують, що підтверджених випадків експлуатації Citrix Bleed 2 у реальних атаках поки немає, про підозрілу активність навколо CVE-2025-5777 ще наприкінці минулого місяця попереджали експерти з компанії ReliaQuest.

Також заяви компанії оскаржує вже згаданий вище Кевін Бомонт. Дослідник пише, що вразливість активно експлуатують із середини червня, і зловмисники застосовують її для вилучення даних із пам’яті та перехоплення сесій.

“Служба підтримки Citrix не розкриває жодних індикаторів компрометації і помилково стверджує (знову, як і у випадку з оригінальною Citrix Bleed), що експлоїтів не існує. Citrix слід попрацювати в цьому напрямку, вони шкодять своїм клієнтам”, – пише Бомонт.