Preko 2.100 ugroženih Citrix NetScaler servera ostaje izloženo aktivnom iskorišćavanju, uprkos dostupnosti zakrpa za kritične ranjivosti koje omogućavaju napadačima da zaobiđu mehanizme autentifikacije i ukradu tokenе sesija.
Sigurnosna kompanija ReliaQuest izdala je upozorenja o aktivnom iskorišćavanju dvije kritične ranjivosti koje pogađaju sisteme Citrix NetScaler ADC i NetScaler Gateway. Ranjivosti, praćene kao CVE-2025-5777 i CVE-2025-6543, napadaju se od sredine juna 2025. godine, s aktivnostima skeniranja koje su zabilježene već 19. juna.
Zaključno sa 29. junom 2025. godine, sigurnosna skeniranja od strane The Shadowserver-a identifikovala su otprilike 1.289 i 2.100 IP adresa bez zakrpa, sa najvećim koncentracijama u Sjedinjenim Američkim Državama i Njemačkoj. Ovo predstavlja značajnu sigurnosnu izloženost, s obzirom na kritičnu prirodu ovih propusta.
CVE-2025-5777, nazvan “Citrix Bleed 2”, nosi CVSS ocjenu 9.2 i predstavlja opasan napredak u odnosu na prvobitnu ranjivost “Citrix Bleed” koja je napravila veliku štetu 2023. godine. Ova nova ranjivost proizilazi iz nedovoljne validacije ulaznih podataka, što rezultira čitanjem izvan granica memorije, omogućavajući napadačima da izvuku osjetljive podatke za autentifikaciju.
Ono što “Citrix Bleed 2” čini posebno podmuklim jeste njegov mehanizam ciljanja. Dok se prvobitni fokusirao na kolačiće sesije, ova varijanta cilja tokene sesije koji se koriste u API pozivima i upornim sesijama aplikacija, potencijalno pružajući napadačima dugotrajniji pristup. Čak i nakon što korisnici prekinu sesije u pregledaču, napadači bi mogli održati neovlašteni pristup putem otetih tokena sesija.
Istraživači ReliaQuest-a primijetili su zabrinjavajuće pokazatelje koji sugerišu aktivno iskorišćavanje, uključujući otete Citrix web sesije u kojima je autentifikacija odobrena bez znanja korisnika, što ukazuje na uspješno zaobilaženje višefaktorske autentifikacije (MFA). Iskorišćavanje uključuje ponovnu upotrebu sesija preko više IP adresa, kombinujući očekivane i sumnjive izvore.
CVE-2025-6543 nosi CVSS ocjenu 9.3 i potvrđeno je da ga aktivno iskorištava Citrix. Ova ranjivost preljeva memorije utiče na iste konfiguracije NetScalera, ali predstavlja drugačije prijetnje. Uspješno iskorišćavanje dovodi do uvjeta uskraćivanja usluge (DoS) koji mogu isključiti ključnu mrežnu infrastrukturu. Citrix je potvrdio aktivno iskorišćavanje, navodeći da su “primijećeni eksploatacije CVE-2025-6543 na nezaštićenim uređajima.”
Sigurnosni analitičari dokumentovali su sofisticirane napadačke obrasce, sugerišući uključenost naprednog aktera prijetnje. ReliaQuest je primijetio više slučajeva implementacije “ADExplorer64.exe” u kompromitovanim okruženjima. Napadači su oružjem koristili ovaj Microsoftov alat za provođenje opsežnih aktivnosti izviđanja domene. Istraživači su detektovali LDAP upite povezane s izviđanjem Active Directory-a i Citrix sesije koje potiču sa IP adresa data centara, uključujući usluge VPN-a za potrošače poput DataCamp-a, što ukazuje na sofisticirane tehnike prikrivanja.
NetScaler uređaji služe kao ključne infrastrukturne komponente, djelujući kao pristupnici za daljinski pristup korporativnim aplikacijama i data centrima. Ovi sistemi često služe kao primarni ulazni punktovi za udaljene radnike, čineći ih metama visokog značaja. Sposobnosti zaobilaženja autentifikacije su posebno zabrinjavajuće jer zaobilaze mehanizme višefaktorske autentifikacije na koje se organizacije oslanjaju kao kritične sigurnosne kontrole.
Citrix je izdao ažurirane verzije NetScalera koje rješavaju obje ranjivosti. Preporučene zakrpane verzije uključuju NetScaler ADC i NetScaler Gateway 14.1-43.56 i novije verzije, te 13.1-58.32 i novije verzije 13.1. Ključno, Citrix je savjetovao administratorima da izvrše specifične naredbe nakon zakrpljavanja: “kill icaconnection -all” i “kill pcoipConnection -all” kako bi se prekinule aktivne sesije i spriječilo napadače da zadrže pristup putem prethodno otetih sesija.
NetScaler verzije 12.1 i 13.0 dosegle su kraj životnog vijeka i neće primati sigurnosne zakrpe. Organizacije koje koriste ove naslijeđene verzije suočavaju se s neograničenom izloženošću i snažno ih se potiče na hitno ažuriranje.
Organizacije moraju odmah primijeniti sigurnosne zakrpe na sve NetScaler sisteme, posebno na uređaje izložene internetu. Postupci nakon zakrpljavanja jednako su kritični – administratori moraju prekinuti sve aktivne sesije kako bi poništili sve ugrožene tokene.
