В июле 2025 года в открытом доступе появились подробные эксплоиты и технические детали, связанные с критической уязвимостью Citrix Bleed 2, которая получила идентификатор CVE-2025-5777. Эта проблема стала следствием уязвимости в оборудовании и программном обеспечении Citrix NetScaler ADC и NetScaler Gateway. Уязвимость получила большое внимание у исследователей и специалистов по безопасности, поскольку она позволяет злоумышленникам без аутентификации перехватывать токены пользовательских сессий и извлекать конфиденциальные данные непосредственно из памяти. Баг, который был обнаружен и проанализирован экспертами компаний watchTowr и Horizon3, является развитием эффекта, уже имевшего место в 2023 году под названием Citrix Bleed (CVE-2023-4966). Тогда масштабные атаки с использованием подобной проблемы затронули множество организаций по всему миру, включая государственные структуры и крупные коммерческие предприятия.
Citrix Bleed 2 проявляет себя в некоторых конфигурациях оборудования Citrix NetScaler, которые применяются в качестве шлюза. Уязвимость затрагивает виртуальные серверы, использующие VPN, ICA Proxy, Clientless VPN, RDP Proxy и виртуальный сервер AAA. Она связана с проблемой out-of-bounds чтения, в ходе которой при отправке специально сформированных HTTP POST запросов с искаженным параметром login, устройство начинает читать и возвращать содержимое оперативной памяти без правильной фильтрации. Злоумышленники могут получать около 127 байт данных с каждого запроса, что при повторных отправках позволяет накопить значительное количество информации, включая токены сессий и другие важные данные. Ценность данной уязвимости заключается в том, что ее можно эксплуатировать удаленно без предварительной аутентификации.
Это означает высокую степень риска для организаций, использующих уязвимое оборудование. Техникой атаки является отправка HTTP POST запросов, где параметр login передается без знака равенства или значения, что приводит к ошибочной обработке и утечке информации в поле <InitialValue> ответа сервера. Как отмечают эксперты, проблема связана с небезопасным использованием функции snprintf с форматом %.*s, который неправильно ограничивает чтение из области памяти. Компания Citrix оперативно отреагировала на выявленную уязвимость и выпустила обновления безопасности, направленные на устранение бага.
Помимо установки патчей, производитель настоятельно советует администраторам завершить все активные сеансы ICA и PCoIP, чтобы перекрыть возможный доступ злоумышленников к перехваченным токенам и предотвратить повторное использование захваченных сессий. Рекомендации по быстрому применению обновлений и контролю за сессионным трафиком являются ключевыми мерами для минимизации угрозы. Однако официальные заявления Citrix о том, что на момент публикации уязвимость не была активно эксплуатирована в реальных условиях, подвергаются сомнению со стороны независимых экспертов. Известный специалист по кибербезопасности Кевин Бомонт, который дал название новой проблеме, утверждает, что Citrix недооценивает опасность и старается скрыть фактический масштаб эксплуатации уязвимости. По его словам, с середины июня злоумышленники уже используют Citrix Bleed 2 для кражи данных из памяти и захвата сессионных токенов.
Такая активность вызывает серьезную обеспокоенность и требует внимания не только специалистов, но и руководителей IT-инфраструктуры. Технические подробности, опубликованные исследователями Horizon3 и watchTowr, подтверждают, что эксплуатировать уязвимость достаточно просто и быстро. Horizon3 даже представила видеодемонстрацию, которая наглядно показывает процесс кражи сессионных токенов с использованием Citrix Bleed 2. Несмотря на то, что попытки watchdog-команды watchTowr не привели к выявлению эксплуатации в полевых условиях, совокупность данных ясно указывает на высокий риск и необходимость проактивных мер. Рассмотрим подробнее, какие последствия может иметь успешная эксплуатация Citrix Bleed 2 для предприятий и конечных пользователей.
Первая опасность — перехват сессионных токенов, что фактически позволяет злоумышленнику выдавать себя за легитимного пользователя без необходимости иметь доступ к учетным данным. Это открывает дверь для долговременного несанкционированного доступа к корпоративным ресурсам, настройкам сетевого оборудования и конфиденциальным данным. Вторая — возможность читающего обхода памяти, где можно получить данные, которые не предназначены для публичного или даже административного доступа. Третья — потенциал для развертывания последующих атак с использованием украденных сессий для проникновения в другие части инфраструктуры или повышения привилегий. Кроме технической стороны важно понимать, как организации должны реагировать на данную угрозу с точки зрения корпоративной безопасности.
В первую очередь обязательным становится обновление программного обеспечения Citrix NetScaler согласно рекомендациям производителя. Вторая задача — проверить и проанализировать логи, чтобы выявить аномальную активность, связанную с некорректными POST запросами и возможными попытками эксплуатации. Третья — проведение аудита сессионных политик и ограничение длительности сеансов, что снизит риск длительного удержания контроля над захваченными сессиями. Отдельного упоминания заслуживают рекомендации по повышению общей безопасности VPN шлюзов. Рекомендуется использовать многофакторную аутентификацию, сегментировать сеть и внедрять системы обнаружения вторжений.
Также полезно регулярно обучать сотрудников, ответственных за администрирование, актуальным методикам борьбы с угрозами и контролю за инцидентами. Эксперты напоминают, что Citrix Bleed 2 — это не единичный инцидент, а часть общей тенденции роста атак на инфраструктурные компоненты, такие как шлюзы и прокси-серверы. Атаки на сетевые шлюзы особенно опасны, так как дают злоумышленникам точку входа с широкими возможностями для дальнейших перемещений по сети. Именно поэтому своевременное выявление и устранение уязвимостей такого класса является критическим элементом стратегии кибербезопасности. В заключение стоит отметить, что новые эксплоиты Citrix Bleed 2 увеличивают сложность защиты корпоративных ИТ-систем.
Разработчикам и администраторам следует внимательно отслеживать обновления безопасности, применять патчи без задержек и проводить всесторонний мониторинг системы. Учитывая, что Citrix по-прежнему является одним из распространенных решений для организации удаленного доступа, игнорирование проблемы может привести к серьезным финансовым и репутационным потерям. Параллельно необходимо следить за публикациями ведущих исследователей и компаний по безопасности, чтобы быть в курсе новых векторов атак и рекомендаций. В настоящее время активное взаимодействие между экспертным сообществом и производителями помогает сдерживать распространение эксплойтов и сокращать окна уязвимости. Однако без внимательности и ответственности со стороны самих организаций борьба с подобными угрозами будет неэффективной.
Таким образом, Citrix Bleed 2 является серьезным вызовом в области информационной безопасности. Она демонстрирует важность комплексного подхода к защите сетевой инфраструктуры и необходимости постоянного совершенствования механизмов обнаружения и реагирования на инциденты. Несмотря на выпущенные патчи, только системный менеджмент угроз и своевременное внедрение рекомендаций позволит минимизировать риски и сохранить безопасность данных пользователей и корпоративных систем.
![Traits of next generation reasoning models [video]](/images/A9472CD0-C51B-4956-AE02-06F04CA96591)