Forwarded from SecAtor
Намечается новая атака на цепочку мудаков, на этот раз числа пользователей NetScaler ADC и NetScaler Gateway, которая в последние дни столкнулась сразу с двумя критическими проблемами, одну из которых уже окрестили как Citrix Bleed 2.
Упомянутая CVE-2025-5777 обусловлена недостаточной проверкой входных данных, что позволяет неавторизованным злоумышленникам получать доступ к ограниченным областям памяти.
Схожая предыдущая уязвимость тогда получила CitrixBleed и попала под активную эксплуатацию в 2023 году со стороны банд вымогателей.
Успешная эксплуатация CVE-2025-5777 позволяет красть токены сеансов, учетные данные и другие конфиденциальные данные с общедоступных шлюзов и виртуальных серверов, и по итогу - перехватывать сеансы пользователей и обходить MFA.
В своем бюллетене от 17 июня компания Citrix предупредила клиентов о необходимости завершить все активные сеансы ICA и PCoIP после обновления всех устройств NetScaler до исправленной версии для блокировки потенциальных атак.
В свою очередь, аналитики Shadowserver Foundation обнаружили в глобальной сети более 1200 устройств, которые по-прежнему остаются уязвимыми для атак с использованием CVE-2025-5777.
Несмотря на то, что официальных упоминаний об эксплуатации в дикой природе со стороны Citrix не последовало, исследователи ReliaQuest в прошлый четверг все же задетектили CVE-2025-5777 в целевых атаках.
ReliaQuest выявила артефакты, указывающие на активность после несанкционированного доступа Citrix, включая перехваченный веб-сеанс, указывающий на успешную попытку обхода MFA, повторное использование сеанса на нескольких IP-адресах и запросы LDAP, связанные с Active Directory.
Помимо этого Shadowserver также сообщает, что более 2100 устройств NetScaler не имеют исправлений для другой критической CVE-2025-6543, которая также теперь задействуется в атаках типа DoS.
Учитывая особую привлекательность Citrix Bleed 2 для киберподполья, представленные Shadowserver цифры в ближайшей перспективе начнут трансформироваться в инциденты. Будем следить.
Упомянутая CVE-2025-5777 обусловлена недостаточной проверкой входных данных, что позволяет неавторизованным злоумышленникам получать доступ к ограниченным областям памяти.
Схожая предыдущая уязвимость тогда получила CitrixBleed и попала под активную эксплуатацию в 2023 году со стороны банд вымогателей.
Успешная эксплуатация CVE-2025-5777 позволяет красть токены сеансов, учетные данные и другие конфиденциальные данные с общедоступных шлюзов и виртуальных серверов, и по итогу - перехватывать сеансы пользователей и обходить MFA.
В своем бюллетене от 17 июня компания Citrix предупредила клиентов о необходимости завершить все активные сеансы ICA и PCoIP после обновления всех устройств NetScaler до исправленной версии для блокировки потенциальных атак.
В свою очередь, аналитики Shadowserver Foundation обнаружили в глобальной сети более 1200 устройств, которые по-прежнему остаются уязвимыми для атак с использованием CVE-2025-5777.
Несмотря на то, что официальных упоминаний об эксплуатации в дикой природе со стороны Citrix не последовало, исследователи ReliaQuest в прошлый четверг все же задетектили CVE-2025-5777 в целевых атаках.
ReliaQuest выявила артефакты, указывающие на активность после несанкционированного доступа Citrix, включая перехваченный веб-сеанс, указывающий на успешную попытку обхода MFA, повторное использование сеанса на нескольких IP-адресах и запросы LDAP, связанные с Active Directory.
Помимо этого Shadowserver также сообщает, что более 2100 устройств NetScaler не имеют исправлений для другой критической CVE-2025-6543, которая также теперь задействуется в атаках типа DoS.
Учитывая особую привлекательность Citrix Bleed 2 для киберподполья, представленные Shadowserver цифры в ближайшей перспективе начнут трансформироваться в инциденты. Будем следить.