В июне 2025 года была обнаружена критическая уязвимость с идентификатором CVE-2025-5777, получившая неофициальное название CitrixBleed 2. Проблема затрагивает устройства Citrix NetScaler Application Delivery Controller и NetScaler Gateway, широко применяемые в корпоративных инфраструктурах для балансировки нагрузки и реализации единого входа (SSO). Несмотря на выпуск патча производителем, Citrix, злоумышленники начали активно эксплуатировать дыры в безопасности, что вызывает серьезные опасения по всему миру.Одной из ключевых опасностей CitrixBleed 2 является возможность обхода двухфакторной аутентификации (2FA), который считается надежным способом защиты учетных записей. Используя специфику уязвимости, хакеры могут отправлять специально модифицированные запросы к уязвимым устройствам через интернет.
В ответ эти устройства начинают случайным образом «протекать» фрагменты памяти, которые содержат чувствительные данные, включая учетные данные и токены сессий. При многократной отправке запросов злоумышленники получают возможность собрать достаточно информации для полного захвата контроля над устройствами и сетями.Оригинальная уязвимость CitrixBleed, обнаруженная в 2023 году, уже имела высокий рейтинг опасности — 9.8 по шкале CVSS. Последняя версия, CitrixBleed 2, получила рейтинг 9.
2, что говорит о критической степени угрозы. В 2023 году из-за первой уязвимости было скомпрометировано более 20 тысяч устройств по всему миру. Среди пострадавших компаний были Boeing, большой китайский банк, крупные юридические фирмы и даже провайдер Comcast, чьи сети подверглись массовым утечкам данных клиентов.Опасность CitrixBleed 2 заключается не только в масштабах потенциального ущерба, но и в поведении самой компании Citrix после публикации информации о недочете. Хотя патч был выпущен 17 июня, производитель опубликовал обновление через девять дней с заявлением об отсутствии доказательств активной эксплуатации уязвимости в дикой природе.
Тем не менее, независимые исследователи и профильные компании, такие как Greynoise и Horizon3.ai, подтвердили факты эксплуатации с конца июня и начала июля, задолго до того, как Citrix сделала официальное заявление.Важным моментом стало также то, что Citrix не предоставила своим клиентам детальных индикаторов компрометации, которые могли бы помочь в обнаружении возможных атак. Вместо этого компания предложила обращаться в службу поддержки для получения необходимой информации. Это решение вызвало критику и подозрения, поскольку многие эксперты полагают, что отсутствие открытых технических деталей затрудняет сработать на опережение и усилить защиту систем.
По словам независимого специалиста Кевина Бомонта, данный подход, наоборот, дал злоумышленникам фору, поскольку они начали атаки сразу после выхода патча. Атаки направлены, в частности, на endpoint doAuthentication.do, отвечающий за процесс авторизации в NetScaler. Там фиксируется огромное число поддельных запросов, вследствие чего устройства постепенно «просвечивают» данные сессий и учетные записи администраторов.Если бы пользователи и специалисты безопасности имели возможность заранее выявлять необычную активность, они могли бы оперативно внедрять дополнительные меры защиты, блокировать вредоносные запросы и улучшать фильтрацию трафика с помощью Web Application Firewalls (WAF).
Однако сложности с получением индикаторов и разглашением уязвимостей означают, что многие компании столкнутся с последствиями значительно позже, что может привести к новым крупным инцидентам безопасности.Кроме того, исследователи подчеркивают, что простое применение патча недостаточно, поскольку пострадавшие устройства могут уже содержать следы компрометации. Необходимо внимательно проверять логи, выявлять подозрительный трафик и следить за признаками утечек памяти. Клиентам Citrix настоятельно рекомендуется не откладывать обновление устройств, но и дополнять его тщательным аудитом безопасности и мерами реагирования.История CitrixBleed 2 лишь подтверждает, насколько уязвимы ключевые элементы IT-инфраструктуры одного из ведущих вендоров в области сетевого оборудования и приложений.
Сложность современных атак, использующих уязвимости памяти и обход многофакторной аутентификации, требует не только технических решений, но и прозрачной политики безопасности со стороны производителей.Критика в адрес Citrix также акцентирует внимание на необходимости балансирования между раскрытием данных для защиты клиентов и предотвращением передачи информации, которая может быть использована злоумышленниками. Оптимальным вариантом эксперты называют быстрое и подробное информирование пользователей целенаправленными индикаторами атак и примерами поведения вредоносного ПО, что позволяет более эффективно выявлять и локализовывать угрозы.Подводя итоги, можно констатировать, что уязвимость CitrixBleed 2 представляет серьезную и актуальную проблему для компаний, использующих сетевые решения этой марки. Несвоевременное информирование и ограниченный доступ к индикаторам атаки увеличивают риски масштабных взломов и утечек конфиденциальных данных.
Все организации должны срочно провести аудит своих систем, установить доступные обновления и внедрить мониторинг аномальной активности в сетях, чтобы минимизировать последствия этой угрозы и повысить уровень кибербезопасности в условиях постоянно меняющегося ландшафта информационных атак.
