CISA внесла критическую уязвимость Citrix NetScaler CVE-2025-5777 в каталог Known Exploited Vulnerabilities (KEV) 11 июля 2025 года. Уязвимость, получившая прозвище Citrix Bleed 2, имеет рейтинг CVSS 9.3 и позволяет злоумышленникам обходить аутентификацию. Она затрагивает NetScaler ADC и Gateway при конфигурации в качестве шлюза (VPN, ICA Proxy, CVPN, RDP Proxy) или сервера AAA.
Активная эксплуатация уязвимости подтверждена CISA. Исследователь Кевин Бомонт зафиксировал атаки с середины июня 2025 года, одна из вредоносных IP-адресов связана с группировкой вымогателей RansomHub. Данные GreyNoise показывают атаки с 10 уникальных IP, расположенных в Болгарии, США, Китае, Египте и Финляндии; основные цели — США, Франция, Германия, Индия и Италия.
Уязвимость представляет катастрофический риск из-за роли NetScaler как точки входа. Успешная атака приводит к утечке токенов сессий и конфиденциальных данных, давая доступ к внутренним сетям, VPN, центрам обработки данных, SSO-порталам и панелям управления. Это открывает путь для латерального перемещения и захвата всей сети, особенно при слабой сегментации.
Единственная эффективная мера — немедленное обновление до исправленных версий, указанных в бюллетене Citrix от 17 июня 2025 года (14.1-43.56 и новее). После установки патча критически важно принудительно завершить ВСЕ активные сессии AAA/шлюза для аннулирования потенциально похищенных токенов. Для обнаружения следов атаки анализируйте логи (например,
Крис Бутера, исполняющий обязанности помощника исполнительного директора CISA по кибербезопасности, заявил: "Citrix Bleed 2 представляет собой значительный, неприемлемый риск». Федеральные агентства США (FCEB) обязаны устранить уязвимость до конца дня 11 июля 2025 года — это самый сжатый срок, когда-либо установленный CISA. Агентство настоятельно рекомендует всем организациям действовать немедленно.
Ранее, 30 июня 2025 года, CISA добавила в KEV другую активно эксплуатируемую уязвимость Citrix — CVE-2025-6543 (CVSS 9.2). Также упомянута историческая уязвимость CVE-2024-21977 (CVSS 9.8) в GeoServer, добавленная в KEV в июле 2024 года и использовавшаяся для майнинга Monero и установки бэкдоров.
Изображение носит иллюстративный характер
Активная эксплуатация уязвимости подтверждена CISA. Исследователь Кевин Бомонт зафиксировал атаки с середины июня 2025 года, одна из вредоносных IP-адресов связана с группировкой вымогателей RansomHub. Данные GreyNoise показывают атаки с 10 уникальных IP, расположенных в Болгарии, США, Китае, Египте и Финляндии; основные цели — США, Франция, Германия, Индия и Италия.
Уязвимость представляет катастрофический риск из-за роли NetScaler как точки входа. Успешная атака приводит к утечке токенов сессий и конфиденциальных данных, давая доступ к внутренним сетям, VPN, центрам обработки данных, SSO-порталам и панелям управления. Это открывает путь для латерального перемещения и захвата всей сети, особенно при слабой сегментации.
Единственная эффективная мера — немедленное обновление до исправленных версий, указанных в бюллетене Citrix от 17 июня 2025 года (14.1-43.56 и новее). После установки патча критически важно принудительно завершить ВСЕ активные сессии AAA/шлюза для аннулирования потенциально похищенных токенов. Для обнаружения следов атаки анализируйте логи (например,
ns.log) на предмет подозрительных запросов к /p/u/doAuthentication.do и неожиданных XML-данных в ответах. Крис Бутера, исполняющий обязанности помощника исполнительного директора CISA по кибербезопасности, заявил: "Citrix Bleed 2 представляет собой значительный, неприемлемый риск». Федеральные агентства США (FCEB) обязаны устранить уязвимость до конца дня 11 июля 2025 года — это самый сжатый срок, когда-либо установленный CISA. Агентство настоятельно рекомендует всем организациям действовать немедленно.
Ранее, 30 июня 2025 года, CISA добавила в KEV другую активно эксплуатируемую уязвимость Citrix — CVE-2025-6543 (CVSS 9.2). Также упомянута историческая уязвимость CVE-2024-21977 (CVSS 9.8) в GeoServer, добавленная в KEV в июле 2024 года и использовавшаяся для майнинга Monero и установки бэкдоров.
