Nova kritična ranjivost u Citrix NetScaler uređajima budi zabrinutost stručnjaka za bezbjednost zbog potencijalne široke eksploatacije, podsjećajući na zloglasni “CitrixBleed” iz 2023. godine koji je pogodio brojne organizacije širom svijeta.
Ova ranjivost, označena kao CVE-2025-5777 i nazvana “CitrixBleed 2”, omogućava napadačima da ukradu osjetljive informacije direktno iz memorije uređaja, potencijalno zaobilazeći višefaktorsku autentifikaciju i preuzimajući korisničke sesije.
Analiza istraživača iz watchTower Labs pokazuje da ova ranjivost, koja rezultira curenjem memorije, utiče na NetScaler ADC i NetScaler Gateway uređaje kada su konfigurisani kao gejtveji za daljinski pristup. S kritičnim CVSS rejtingom od 9.3, ranjivost proizlazi iz nedovoljne validacije unosa, što dovodi do prekomjernog čitanja memorije prilikom obrade zahtjeva za autentifikaciju.
Prvobitna ranjivost CitrixBleed (CVE-2023-4966) je opsežno eksploatisana od strane grupa koje se bave ransomwareom i nacionalnih aktera, što je dovelo do značajnih povreda bezbjednosti, uključujući napade na Boeing i Comcastovu Xfinity uslugu, koji su pogodili 36 miliona korisnika.
Postoje naznake o aktivnoj eksploataciji ove ranjivosti, prema izvještaju sigurnosne firme ReliaQuest. Oni su primijetili pokazatelje “srednjeg povjerenja” koji sugerišu da se ranjivost već koristi u ciljanim napadima. Dokazi uključuju preuzete Citrix web sesije, gdje je autentifikacija odobrena bez znanja korisnika, što ukazuje na uspješno zaobilaženje višefaktorske autentifikacije.
Istraživači su identifikovali nekoliko zabrinjavajućih obrazaca: ponovno korištenje sesija sa sumnjivih IP adresa, LDAP upiti povezani s izviđanjem Active Directoryja, te višestruke instance alata ADExplorer64.exe koji se koriste u kompromitovanim okruženjima. Napadači očigledno koriste javno dostupne VPN servise za prikrivanje svojih aktivnosti tokom izviđanja nakon proboja.
Analiza watchTower Labs otkriva da je eksploatacija ove ranjivosti iznenađujuće jednostavna. Slanjem neispravnog HTTP zahtjeva na krajnju tačku za prijavu Citrix Gateway-a bez odgovarajućih vrijednosti parametara, napadači mogu izazvati curenje memorije koje otkriva neinicijalizovane varijable koje sadrže osjetljive podatke iz memorije uređaja.
“Ono što se dešava ‘ispod haube’ je klasičan primjer C jezičke nepažnje”, objasnili su istraživači. “Backend parser nam vraća neinicijalizovanu lokalnu varijablu” koja sadrži bilo koje podatke koji su prethodno bili pohranjeni u memoriji, potencijalno uključujući sesijske tokene i druge osjetljive informacije.
Ranjivost se manifestuje kada napadači šalju HTTP POST zahtjeve na krajnju tačku `/p/u/doAuthentication.do` s neispravnim parametrima za prijavu. Umjesto pravilnog inicijalizovanja memorijskih varijabli, sistem vraća bilo koje preostale podatke koji su prethodno bili pohranjeni u memoriji, predstavljajući klasičan primjer CWE-457: Korištenje neinicijalizovane varijable.
Sigurnosni istraživač Kevin Beaumont, koji je skovao naziv “CitrixBleed 2”, napomenuo je da je preko 50.000 potencijalno ranjivih NetScaler instanci izloženo internetu, prema pretragama na Shodanu. Fondacija Shadowserver je krajem juna 2025. godine otkrila da je preko 1.200 uređaja ostalo nezaštićeno, uprkos tome što je Citrix izdao ispravke 17. juna.
Citrix je izdao sigurnosna ažuriranja za podržane verzije i snažno savjetuje organizacijama da ih odmah nadograde. Kompanija preporučuje prekid svih aktivnih ICA i PCoIP sesija nakon primjene ispravki kako bi se spriječilo potencijalno preuzimanje sesija. Organizacije koje koriste verzije 12.1 i 13.0 kojima je istekao rok podrške moraju nadograditi na podržane verzije, jer ove neće primiti sigurnosne ispravke.
S obzirom na ozbiljan utjecaj prvobitnih CitrixBleed napada, koji su se nastavili eksploatisati mjesecima nakon dostupnosti ispravki, stručnjaci za sigurnost naglašavaju da organizacije ne smiju odlagati primjenu ispravki. Sličnost ranjivosti sa njenim prethodnikom sugerira da će vjerovatno postati omiljeni alat za sajberkriminalce koji traže početni pristup korporativnim mrežama.
Postoji upozorenje, objavljeno na više platformi, uključujući stručne blogove i društvene mreže poput X-a, koje ukazuje na novootkrivenu ranjivost u Citrix NetScaler uređajima, nazvanu “CitrixBleed 2”. Ovo upozorenje naglašava njenu sličnost sa prošlogodišnjim napadima CitrixBleed, koji su uzrokovali značajne bezbjednosne proboje u velikim kompanijama poput Boeinga.
Upozorenje se poziva na konkretne primjere, kao što su ranije otkrivene ranjivosti koje su iskorišćene za krađu osjetljivih podataka i preuzimanje korisničkih sesija. Metodologija napada, pojednostavljeno rečeno, uključuje slanje specijalno oblikovanog zahtjeva ka Citrix uređaju koji, umjesto očekivane obrade, otkriva fragmente memorije koji mogu sadržati ključne informacije poput sesijskih tokena. Prevaranti, u ovom slučaju, ne “mame” žrtve direktno u smislu socijalnog inženjeringa kao kod phishing prevara, već iskorištavaju postojeću bezbjednosnu slabost u softveru kako bi stekli neovlašteni pristup. Konkretni detalji incidenta objašnjavaju kako napadači, koristeći specifičan HTTP zahtjev, izazivaju curenje podataka iz memorije, što im omogućava neovlašteni pristup.
