CitrixBleed 2 CVE-2025-5777: Актуальні загрози та експлуатація

Оновлено: 15 липня 2025 року

Передумови та Хронологія

17 червня 2025 року компанія Citrix опублікувала бюлетень безпеки CXA-2025-06, що стосується вразливості CVE-2025-5777, яка має високий рівень небезпеки (CVSS 9.2) і пов’язана з витоком пам’яті в пристроях NetScaler ADC та NetScaler Gateway. Через дев’ять днів після цього постачальник повідомив, що “на даний момент не має доказів експлуатації вразливості в реальних умовах.” Проте дані з декількох незалежних джерел свідчать про те, що зловмисники почали використовувати цю вразливість вже 23 червня 2025 року.

Принцип роботи CitrixBleed 2

CitrixBleed 2 повторно впроваджує механізм витоку пам’яті, вперше виявлений у CVE-2023-4966 (“CitrixBleed”), який у 2023 році вразив понад 20,000 серверів по всьому світу. Зловмисники надсилають велику кількість неправильно сформованих запитів doAuthentication.do через HTTPS. Через помилку “off-by-one” у процедурі парсингу ns_s_ike_packet.c кожен з таких запитів викликає “витік” невеликих блоків пам’яті з купи назад до клієнта.

1. Зловмисник надсилає повторювані запити на автентифікацію з навмисно обірваними заголовками.
2. NetScaler ADC витрачає приблизно 16–64 байти пам’яті на кожен запит.
3. Агрегуючи відповіді, зловмисник відновлює токени сеансів і облікові дані адміністратора.

Докази активної експлуатації

Компанія GreyNoise повідомила про аномальні патерни трафіку до “медових горщиків”, що імітують пристрої NetScaler, починаючи з 1 липня. Незалежний дослідник Кевін Бомонт підтвердив ці знахідки, відстежуючи подібні спроби експлуатації до 23 червня за допомогою телеметрії з глобально розподілених сенсорів медових горщиків. Активність експлуатації постійно націлюється на TCP порт 443 і використовує HTTP/1.1 pipelining для прискорення збору даних про витік пам’яті на рівні тисяч запитів на годину.

Вразливі версії та деталі патчу

• NetScaler ADC < 14.1-61.21
• NetScaler Gateway < 13.0-90.22
• Виправлено в 14.1-61.22, 13.0-90.23 та пізніших версіях

Citrix також випустила CLI скрипти для автоматизації перевірки патчів та установник гарячого виправлення для середовищ, що працюють в режимі UEFI з nsroot.

Стратегії пом’якшення та реагування

Крім встановлення патчів, організаціям слід:

• Перевіряти журнали Web Application Firewall (WAF) на наявність запитів doAuthentication.do з великою кількістю, які не містять заголовок nsgwd-cookie.
• Впроваджувати підписи IPS, що виявляють аномальні зчитування NS кодових сторінок.
• Увімкнути Безпечний завантаження та верифікацію HMAC на прошивці пристрою для захисту від пост-експлуатаційної стійкості.
• Провести форензіку пам’яті для відновлення дампів купи до патчу з метою виявлення показників компрометації (IoCs).

“Просто встановлення патчу недостатньо. Захисники повинні перевірити, чи не були вже викрадені облікові дані,” сказала доктор Емілі Фу, провідний дослідник в Horizon3.ai.

Глибокий технічний аналіз: Механізм витоку пам’яті

У вразливих збірках NetScaler функція parse_auth_request() не очищає внутрішній буфер char buf[128] при виникненні помилки. Зловмисники використовують це, надсилаючи запити з невідповідністю заголовка Content-Length, що викликає часткові зчитування, які відображають залишки вмісту купи. Докладний реверс-інжиніринг показує, що витеклі дані часто містять частини об’єктів struct session_admin та session_token в пам’яті, що спрощує відновлення облікових даних.

Наслідки для безпеки підприємства

CitrixBleed 2 підкреслює постійну загрозу в мережевих послугах на базі пристроїв. Багато підприємств сприймають ADC як “встановити і забути” інфраструктуру, затримуючи регулярні огляди прошивки. Зважаючи на роль NetScaler у глобальному балансуванні навантаження, будь-яка компрометація може полегшити боковий рух, витік даних та атаки на ланцюг постачання.

Рекомендації експертів

• Антон Чувакін, Інститут SANS: “Ведіть інвентаризацію активів, що відстежує версії прошивки пристроїв, і плануйте щоквартальні сканування на вразливості.”
• Джессіка Баркер, Рада CISO: “Інвестуйте в надійні рішення MFA, які можуть виявляти та обмежувати аномальні патерни автентифікації, а не просто покладатися на статичні токени.”

Висновок

CitrixBleed 2 демонструє, що вразливості, пов’язані з витоком пам’яті, залишаються критичним вектором атак проти мережевих пристроїв. Організації, які використовують NetScaler, повинні терміново застосувати патч від 17 червня, переглянути телеметрію WAF та IPS на наявність ознак попередньої експлуатації, а також впровадити практики безперервної валідації прошивки для запобігання подібним інцидентам.