Новая критическая уязвимость Citrix Bleed 2 (CVE-2025-5777) уже эксплуатируется

Переводчик Google
Кибербезопасностная компания ReliaQuest сообщает, что уязвимость CVE-2025-5777, известная как Citrix Bleed 2, вероятно, уже используется в целевых атаках. Об этом свидетельствует рост подозрительных сессий на устройствах Citrix.

Что известно об уязвимости​

  • Название: Citrix Bleed 2
  • Тип: Out-of-bounds memory read
  • Описание: Позволяет неаутентифицированным злоумышленникам читать участки памяти, которые обычно недоступны, включая session tokens, учетные данные и другие конфиденциальные данные.
  • Последствия:
    • Перехват пользовательских сессий
    • Обход многофакторной аутентификации (MFA)

Хронология​

  • 17 июня 2025: Citrix выпустила обновления безопасности для CVE-2025-5777, изначально без подтвержденной эксплуатации.
  • Позже на этой неделе: Исследователь Кевин Бомонт предупредил о высокой вероятности эксплуатации.
  • На текущий момент: ReliaQuest сообщает о признаках активного использования уязвимости в атаках.

Признаки эксплуатации (по данным ReliaQuest)​

  1. Перехваченные Citrix web-сессии
    Аутентификация происходила без участия пользователей, что указывает на обход MFA с помощью украденных токенов сессий.
  2. Повторное использование одной и той же сессии
    Сессии использовались как с легитимных, так и с подозрительных IP-адресов, что указывает на hijacking и replay-атаки.
  3. Запросы LDAP после получения доступа
    Злоумышленники проводили разведку Active Directory для сбора информации о пользователях, группах и разрешениях.
  4. Запуск ADExplorer64.exe на разных системах
    Указывает на координированную разведку домена и попытки подключения к контроллерам домена.
  5. Сессии Citrix с IP-адресов дата-центров VPN-провайдеров (например, DataCamp)
    Вероятно использовались для сокрытия инфраструктуры атакующих.

Рекомендации по защите​

  1. Обновить Citrix до версий:
    • 14.1-43.56+
    • 13.1-58.32+
    • 13.1-FIPS/NDcPP 13.1-37.235+
  2. Завершить все активные ICA и PCoIP сессии после установки обновлений, поскольку они могут быть перехвачены.

Как проверить и завершить сессии​

  • Просмотр активных сессий: NetScaler Gateway > PCoIP > Connections
  • Завершение всех сессий:
  • Код: 
    kill icaconnection -all
kill pcoipconnection -all

Если немедленное обновление невозможно:
Ограничить внешний доступ к NetScaler с помощью сетевых ACL или правил брандмауэра.

ReliaQuest оценивает вероятность эксплуатации как среднюю, но учитывая природу уязвимости, рекомендуется немедленное применение патчей.

Источник
 
Нажмите для раскрытия...
Войдите или зарегистрируйтесь для ответа.

Похожие темы

newswriter
  • Статья Статья
Новая тактика Silk Typhoon: как китайская кибершпионская группа атакует IT-инфраструктуру
Ответы
0
Просмотры
327
newswriter
newswriter
akok
  • Статья Статья
Атака через модифицированный Havoc Demon: новая угроза для Windows
Ответы
0
Просмотры
293
akok
akok
akok
  • Статья Статья
OpenAI анонсировала GPT-4.5: Новая модель с улучшенной эмпатией и креативностью
Ответы
1
Просмотры
301
Dragokas
Dragokas
Назад
Сверху Снизу