Najmanje 100 organizacija je hakovano eksploatacijom CitrixBleed 2, kritične ranjivosti u NetScaler-u koja je zakrpljena sredinom juna, dok su hiljade instanci i dalje ranjive.
Ranjivost, označena kao CVE-2025–5777 (CVSS skor 9.3), opisana je kao problem neadekvatne validacije ulaza, koji napadačima može omogućiti da čitaju memoriju van dozvoljenih granica.
Bezbjednosni istraživači su demonstrirali da se ova greška može iskoristiti za preuzimanje tokena sesija sa ranjivih NetScaler instanci, čime napadači mogu preuzeti sesije i zaobići MFA, a CISA je dodala ovu CVE oznaku u svoj KEV katalog, pozvavši savezne agencije da je odmah zakrpe.
Međutim, kako otkrivaju novi izvještaji bezbjednosnog istraživača Kevina Beaumonta i firme za prijetnju obavještajnih podataka GreyNoise, eksploatacija ove ranjivosti “u divljini” je počela mnogo prije nego što je PoC kod javno podijeljen.
Bezbjednosni istraživač, koji je upozorio na rizike povezane sa CVE-2025–5777 ubrzo nakon što je Citrix objavio zakrpe 17. juna, i koji je grešku nazvao CitrixBleed 2, tvrdi da je eksploatacija počela 20. juna, u skladu sa ranijim izvještajem kompanije ReliaQuest.
GreyNoise takođe postavlja prve napade usmjerene ka ranjivosti u isti vremenski okvir, navodeći da je prvu aktivnost uočio 24. juna.
Citrix je 26. juna objavio blog u kojem osporava izvještaje o eksploataciji, a ažurirao ga je tek 11. jula, nakon što je CISA uključila ovu bezbjednosnu grešku u KEV.
Ažurirani post ponavlja da su samo NetScaler ADC i NetScaler Gateway instance konfigurisane kao gateway ili AAA virtuelni server ranjive, pozivajući korisnike da ih što prije zakrpe i napominjući da sve aktivne sesije treba prekinuti nakon nadogradnje, te da nijedna ne smije biti eksportovana.
Prema Beaumontu, svi kolačići sesija takođe treba da budu očišćeni nakon primjene zakrpe, jer ranjivost omogućava njihovo curenje.
„Izgleda da je Citrix pogriješio i nije obavijestio korisnike da obrišu sve tipove sesija zbog CitrixBleed 2… što direktno ostavlja korisnike koji su primijenili zakrpe i dalje u riziku od otmice sesije“, navodi Beaumont.
Prema riječima istraživača, uočeni napadi su pogodili entitete iz sektora obrazovanja, finansijskih usluga, državne uprave, pravosuđa, tehnologije i telekomunikacija, ostavljajući preko 100 žrtava.
Napadači su pažljivo profilisali žrtve, zatim prikupljali podatke iz korisničkih Citrix sesija i uspostavljali prisustvo korišćenjem legitimnih MSP administratorskih alata. Najmanje jedna ransomware grupa eksploatisala je ovu grešku za inicijalni pristup.
Do 11. jula, Imperva je zabilježila skoro 12 miliona napada usmjerenih na CVE-2025–5777, što, prema Beaumontu, pokazuje da se „aktivnost zasniva na principu nasumičnosti – puca se u sve pravce“.
GreyNoise navodi da je najmanje 26 malicioznih IP adresa korišćeno za pokušaje eksploatacije tokom prethodne tri nedjelje, uglavnom iz Kine, Rusije, Južne Koreje i SAD-a.
„Rani pokušaji eksploatacije dolazili su sa malicioznih IP adresa geolociranih u Kini. Umjesto nasumičnih napada, ove IP adrese su ciljale GreyNoise senzore konfigurisane da emuliraju Citrix NetScaler uređaje, što sugeriše namjerno ciljanje“, navodi GreyNoise.
Prema podacima The Shadowserver Foundation od 17. jula, skoro 4.700 NetScaler instanci još uvijek nije zakrpljeno protiv CitrixBleed 2.
Korisnicima Citrix-a se savjetuje da nadograde na NetScaler ADC verzije 14.1-43.56, 13.1-58.32, 13.1-FIPS, 13.1-NDcPP 13.1-37.235 i 12.1-FIPS 12.1-55.328, kao i NetScaler Gateway verzije 14.1-43.56 i 13.1-58.32. Takođe, potrebno je prekinuti sve sesije i obrisati kolačiće sesija kako bi se u potpunosti ublažili rizici povezani sa ovom ranjivošću.
Izvor: SecurityWeek
