За даними фахівців ReliaQuest, критичну вразливість Citrix Bleed 2 (CVE-2025-5777) уже можуть використовувати в атаках. Дослідники спостерігають зростання кількості підозрілих сесій на пристроях Citrix.

Нагадаємо, що свіжа вразливість у Citrix NetScaler ADC і NetScaler Gateway дістала назву Citrix Bleed 2, оскільки схожа з проблемою 2023 року, яка давала змогу неавтентифікованим зловмисникам перехоплювати cookie сеансу автентифікації на вразливих пристроях.

Пов’язаний з out-of-bounds читанням баг зачіпає пристрої NetScaler, налаштовані як шлюз: віртуальний сервер VPN, ICA Proxy, Clientless VPN (CVPN), RDP Proxy або віртуальний сервер AAA.

Як пояснював відомий ІБ-експерт Кевін Бомонт (Kevin Beaumont), який дав назву новій проблемі, вона перегукується з сумнозвісною вразливістю Citrix Bleed (CVE-2023-4966), яку кілька років тому активно використовували хакери, включно з здирниками та «урядовими» угрупованнями.

Бомонт описав CVE-2025-5777 як «Citrix Bleed 2», заявляючи, що ця проблема теж дає змогу отримати доступ до токенів сеансів, облікових даних та інших конфіденційних даних із публічних шлюзів і віртуальних серверів. А витік токенів може призвести до перехоплення користувацьких сесій і обходу багатофакторної аутентифікації.

«Хоча про публічну експлуатацію CVE-2025-5777, що отримала назву Citrix Bleed 2, поки не повідомлялося, ReliaQuest із середнім ступенем упевненості вважає, що зловмисники активно використовують цю вразливість для отримання початкового доступу до цільових середовищ», – попереджають експерти.

Висновки про розпочаті атаки ґрунтуються на результатах таких спостережень:

-були помічені перехоплені веб-сесії Citrix, в яких аутентифікація здійснювалася без взаємодії з користувачем, що вказує на те, що -зловмисники обходять мультифакторну аутентифікацію, використовуючи вкрадені сесійні токени;
-зловмисники повторно використовували одну й ту саму сесію Citrix як з легітимних, так і з підозрілих IP-адрес, що вказує на перехоплення сесії;
після отримання доступу було ініційовано запити LDAP, тобто атакувальники вивчали Active Directory для визначення користувачів, груп і дозволів;
-кілька екземплярів ADExplorer64. exe запускалися в різних системах, що свідчить про скоординовану розвідку, вивчення домену та спроби підключення до різних контролерів домену;
-сесії Citrix походили з IP-адрес дата-центрів, пов’язаних із VPN-провайдерами (наприклад DataCamp), що свідчить про маскування зловмисників за допомогою анонімної інфраструктури.

Дослідники нагадують, що для захисту від атак на Citrix Bleed 2 слід якомога швидше оновитися до версій 14.1-43.56+, 13.1-58.32+ і 13.1-FIPS/NDcPP 13.1-37.235+.