Nova kritična ranjivost u Citrix NetScaler uređajima izaziva zabrinutost stručnjaka za bezbjednost zbog potencijalne široke eksploatacije, podsjećajući na prošlogodišnje razorne “CitrixBleed” napade koji su pogodili brojne organizacije širom svijeta.
Ova ranjivost, označena kao CVE-2025-5777 i nazvana “CitrixBleed 2”, omogućava napadačima da ukradu osjetljive informacije direktno iz memorije uređaja, potencijalno zaobilazeći višefaktorsku autentifikaciju i preuzimajući korisničke sesije.
Analiza istraživača iz watchTower Labs pokazuje da ranjivost, koja uzrokuje curenje memorije, pogađa NetScaler ADC i NetScaler Gateway uređaje konfigurisane kao udaljeni pristupni prolazi. S kritičnim CVSS skorom od 9.3, ova ranjivost proizlazi iz nedovoljne validacije ulaznih podataka, što dovodi do prekomjernog čitanja memorije prilikom obrade zahtjeva za autentifikaciju.
Prvobitna ranjivost CitrixBleed (CVE-2023-4966) bila je široko eksploatisana od strane grupa koje se bave ransomwareom i državnih aktera, što je dovelo do značajnih prodora, uključujući napade na Boeing i Comcastovu Xfinity uslugu koja je pogodila 36 miliona korisnika.
Sumnja se na aktivnu eksploataciju:
Kibernetička sigurnosna firma ReliaQuest je izvijestila da su primijetili indikatore “srednjeg povjerenja” koji ukazuju na to da se ranjivost već eksploatiše u ciljanim napadima. Dokazi uključuju preuzete Citrix web sesije gdje je autentifikacija odobrena bez znanja korisnika, što ukazuje na uspješno zaobilaženje višefaktorske autentifikacije.
Istraživači su identifikovali nekoliko zabrinjavajućih obrazaca: ponovno korištenje sesija preko sumnjivih IP adresa, LDAP upiti povezani sa izviđanjem Active Directoryja, te višestruke instance alata ADExplorer64.exe raspoređene u kompromitovanim okruženjima. Napadači očigledno koriste privatne VPN usluge za prikrivanje svojih aktivnosti tokom izviđanja nakon proboja.
WatchTower Labs analiza otkriva da je eksploatacija ranjivosti iznenađujuće jednostavna. Slanjem neispravnog HTTP zahtjeva na ulaznu tačku Citrix Gateway-a bez odgovarajućih parametara, napadači mogu izazvati curenje memorije koje otkriva neinicijalizovane varijable sa osjetljivim podacima iz memorije uređaja.
“Ono što se dešava ‘ispod haube’ je klasičan primjer zloupotrebe u C programiranju,” objasnili su istraživači. “Backend parser nam vraća neinicijalizovanu lokalnu varijablu” koja sadrži bilo koje podatke prethodno pohranjene u memoriji, potencijalno uključujući sesijske tokene i druge osjetljive informacije.
Ranjivost se manifestuje kada napadači šalju HTTP POST zahtjeve na `/p/u/doAuthentication.do` endpoint sa neispravnim parametrima prijave. Umjesto da pravilno inicijalizuje memorijske varijable, sistem vraća preostale podatke koji su prethodno bili pohranjeni u memoriji, stvarajući primjer klasične ranjivosti CWE-457: Korištenje neinicijalizovane varijable.
Sigurnosni istraživač Kevin Beaumont, koji je skovao naziv “CitrixBleed 2”, primijetio je da je prema pretragama na Shodanu više od 50.000 potencijalno ranjivih NetScaler instanci izloženo internetu. Shadowserver Foundation je krajem juna 2025. godine otkrio da preko 1.200 uređaja još uvijek nije zakrpljeno, uprkos tome što je Citrix objavio zakrpe 17. juna.
Citrix je objavio sigurnosna ažuriranja za podržane verzije i snažno preporučuje organizacijama da odmah nadograde svoje sisteme. Kompanija savjetuje prekidanje svih aktivnih ICA i PCoIP sesija nakon zakrpljivanja kako bi se spriječilo potencijalno preuzimanje sesija. Organizacije koje koriste verzije 12.1 i 13.0 koje su istekle moraju nadograditi na podržane verzije, jer ove neće primati sigurnosne zakrpe.
S obzirom na ozbiljan uticaj prvobitnih CitrixBleed napada, koji su se nastavili eksploatisati mjesecima nakon dostupnosti zakrpa, stručnjaci za sigurnost naglašavaju da organizacije ne smiju odlagati napore na zakrpljivanju. Sličnost ranjivosti sa njenim prethodnikom sugeriše da će vjerovatno postati omiljeni alat za cyberkriminalce koji traže početni pristup korporativnim mrežama.
