В мире информационной безопасности уязвимости в популярных продуктах зачастую становятся объектом пристального внимания специалистов и злоумышленников. Новая серьезная проблема получила название Citrix Bleed 2 и затрагивает устройства Citrix NetScaler ADC и NetScaler Gateway. Эта уязвимость угрожает безопасному функционированию корпоративных сетей и позволяет злоумышленникам получать доступ к токенам сеансов аутентификации, что в конечном итоге может привести к перехвату пользовательских сессий и обходу многофакторной аутентификации. Citrix NetScaler — это линейка решений, предназначенных для оптимизации работы приложений, балансировки нагрузки и создания виртуальных шлюзов VPN. Благодаря своей популярности и широкому применению эти системы являются привлекательной мишенью для хакеров.
Уязвимость Citrix Bleed 2, связанная с ошибкой выхода за границы массива при чтении данных (out-of-bounds read), была официально зафиксирована и идентифицирована как CVE-2025-5777. Помимо неё, также выявлена дополнительная уязвимость CVE-2025-5349 в системе контроля доступа интерфейса управления NetScaler Management Interface. Особенность CVE-2025-5777 заключается в том, что она позволяет неаутентифицированному атакующему получить доступ к памяти устройства за пределами выделенного диапазона. Вследствие этого злоумышленник может извлечь конфиденциальную информацию, включая токены аутентификации, сессионные куки и учетные данные пользователей. Важно отметить, что поражены устройства NetScaler, настроенные в качестве шлюза: виртуальный сервер VPN, ICA Proxy, Clientless VPN, RDP Proxy и виртуальный сервер AAA.
Реализация атаки может привести к перехвату активных пользовательских сессий и обходу систем многофакторной аутентификации, существенно ослабляя защиту корпоративной инфраструктуры. Уязвимость CVE-2025-5349 связана с недостатками контроля доступа в интерфейсе управления NetScaler Management Interface. При наличии у злоумышленника доступа к IP-адресам NSIP (NetScaler Management IP), Cluster Management IP или Local GSLB Site IP, он может использовать этот баг для получения административного контроля над системой. Такая ситуация крайне опасна для компаний, так как открывает путь к изменению настроек, отслеживанию трафика и дальнейшему распространению вредоносных действий внутри сети. Известный эксперт по информационной безопасности Кевин Бомонт охарактеризовал CVE-2025-5777 как «Citrix Bleed 2», проводя параллели с оригинальной уязвимостью Citrix Bleed, выявленной в 2023 году.
Тогда аналогичная проблема позволяла злоумышленникам получать доступ к сессионным cookie, что активно использовалось как киберпреступниками, так и хакерскими группировками с государственным спонсорством. Citrix Bleed 2 унаследовала многие риски, но также демонстрирует эволюцию методов атак и растущие вызовы для IT-безопасности. Согласно последним данным, в открытом интернет-пространстве доступно более 56 500 конечных устройств NetScaler ADC и NetScaler Gateway. Точная доля уязвимых устройств неизвестна, однако наличие значительного числа экспонированных систем вызывает тревогу у специалистов по безопасности. Это подчеркивает важность своевременной установки обновлений и настройки защитных механизмов, особенно в организациях, предоставляющих дистанционный доступ через VPN и виртуальные шлюзы.
Компания Citrix оперативно отреагировала на выявленные уязвимости и выпустила бюллетени безопасности с рекомендациями по устранению рисков. Для борьбы с Citrix Bleed 2 рекомендуется обновить устройства до версий NetScaler ADC и NetScaler Gateway 14.1-43.56, 13.1-58.
32 и новее, а также релизов 13.1-37.235-FIPS/NDcPP и 12.1-55.328-FIPS.
Помимо этого, специалисты советуют после обновления завершить все активные пользовательские сессии ICA и PCoIP, чтобы предотвратить возможный перехват и злоупотребление существующими сессиями. Перед отключением сессий необходимо внимательно проанализировать текущую активность. Для этого возможно использование командной утилиты show icaconnection, а также встроенных инструментов NetScaler Gateway для мониторинга PCoIP-соединений. Такой подход помогает выявить подозрительные подключения и определить уровень угрозы с точки зрения сетевой активности. Одной из ключевых рекомендаций является обеспечение минимального экспонирования устройств NetScaler в публичном интернете.
При возможности рекомендуется ограничить доступ посредством настроек межсетевого экрана и VPN-фильтров. Внедрение строгих политик многофакторной аутентификации, регулярный аудит систем и обучение сотрудников вопросам кибербезопасности также повышают уровень защиты и снижают вероятность успешной эксплуатации обнаруженных уязвимостей. В современных условиях, когда корпоративные сети становятся все более сложными и интегрированными, уязвимости подобного рода представляют существенную угрозу для бизнеса и государственных структур. Перехват сессий и кража учетных данных способны привести к финансовым потерям, утечкам конфиденциальных данных и нарушению работы критически важных систем. Таким образом, своевременное реагирование и внедрение защитных обновлений являются основополагающими задачами для IT-администраторов и специалистов по безопасности.
В целом, уязвимость Citrix Bleed 2 напоминает, что даже проверенные временем решения требуют постоянного мониторинга и обновления. Появление новых эксплойтов подчеркивает необходимость формирования комплексной стратегии безопасности, включающей проактивный анализ угроз, быстрый отклик на инциденты и превентивные меры, направленные на минимизацию рисков. Только такой подход позволит сохранять высокий уровень защиты и поддерживать доверие пользователей в эпоху постоянно меняющейся киберугрозы.
![FLUX.1 Kontext [Dev] Inference and Training](/images/EC7A7884-9191-4C21-895F-3982FB374686)
