В современном мире информационная безопасность приобретает всё большую значимость, особенно когда речь идёт о защите корпоративных сетей и удалённого доступа. Одной из популярных платформ, обеспечивающих защищённый доступ к инфраструктуре, является Citrix NetScaler. Однако недавнее обнаружение новой серьёзной уязвимости, получившей обозначение CitrixBleed 2 и идентификатор CVE-2025-5777, вновь поставило под вопрос уровень безопасности этих устройств. Эта проблема касается утечки памяти и может привести к утрате чувствительной информации, что создаёт серьезные риски для организаций по всему миру. История уязвимости CitrixBleed идёт от знаменитой уязвимости 2023 года, которая позволяла злоумышленникам получить доступ к памяти устройств и перехватывать удалённые сессии.
Несмотря на предпринятые меры, последствия той уязвимости до сих пор ощущаются во многих организациях, и теперь их заставляет насторожиться повторение проблемы в виде CVE-2025-5777. Новая уязвимость основывается на неправильной обработке данных при аутентификации пользователей на устройствах NetScaler, что приводит к чтению неинициализированной памяти и раскрытию внутренней информации.Технически суть проблемы заключается в некорректной обработке параметра «login» в HTTP POST запросах, отправляемых на сервер NetScaler, когда поле присутствует без значения, например, просто «login» без знака равенства и соответствующего параметра. При получении такого запроса устройство не инициализирует соответствующую память должным образом, что приводит к отражению в ответе XML-тега <InitialValue> содержимого непреднамеренно захваченной памяти. В результате злоумышленник получает возможность последовательно получать данные, находящиеся в памяти, которые могут содержать различные фрагменты запросов и иной конфиденциальной информации.
Функция, ответственная за формирование ответа, использует формат строки с параметром %.*s, позволяющим вывести ограниченное количество символов до первого нулевого байта. Эта особенность делает утечку не бесконечной, но достаточно частой и последовательной, что даёт возможность получить значительный объём информации за серию запросов. Подобная реализация является классическим примером CWE-457: использование неинициализированной переменной, что считается одной из самых распространённых и опасных уязвимостей в программировании на языке C.Для выявления уязвимых устройств можно использовать определённый тип запроса, который направляется на URL аутентификации Citrix NetScaler, где в теле POST запроса указывается только параметр login без равенства и значения.
При этом появление в ответе заполненного содержимым тега <InitialValue> свидетельствует о наличии уязвимости. Это позволяет администраторам и специалистам по безопасности быстро оценить риски без проведения разрушительных тестов.Эксплуатация уязвимости может привести к серьёзным последствиям. Несмотря на то, что во время тестирования не удалось обнаружить утечки сессионных данных, паролей или куки, сама природа утечки непредсказуема и может со временем позволить злоумышленникам получить критически важную информацию из оперативной памяти устройства. Особенно уязвимы «живые» среды с активными VPN-сессиями, где шансы увидеть реальные учетные данные существенно выше.
Существуют опасения, что хакеры могут использовать данное уязвимость для проведения масштабных атак и дальнейшего продвижения внутри сети жертвы.Одной из главнейших проблем остаётся недостаток прозрачности и обмена индикаторами компрометации (IoCs) и артефактами эксплуатации среди пользователей Citrix NetScaler. В отсутствие чётких данных и средств обнаружения многие организации могут просто не подозревать о наличии угрозы. Это затрудняет своевременное принятие мер и серьёзно увеличивает риск инцидентов, которые могут повлечь за собой серьёзные сбои, например, в работе медицинских учреждений и других критически важных объектов.Разработчики Citrix уже выпустили патчи, исправляющие данный дефект.
Анализ исправлений показал, что проблема решается за счёт правильной проверки наличия параметра login и контроля флага, сигнализирующего о том, что параметр действительно содержит имя пользователя. Патч гарантирует, что если значение отсутствует, соответствующая память очищается или инициализируется, тем самым предотвращая утечку старых данных из памяти устройства.В условиях современной киберугрозы применение уязвимых устройств без своевременного обновления — рискованный шаг. Уязвимость CVE-2025-5777 подчеркивает, что даже сложные и дорогостоящие решения не застрахованы от базовых ошибок программирования. Поэтому постоянный мониторинг, обновление ПО и внедрение систем проактивного обнаружения уязвимостей становятся жизненно важными для организации информационной безопасности.
Рекомендуется всем пользователям Citrix NetScaler немедленно проверить наличие установленного патча и, при необходимости, выполнить обновление. Важно также использовать методы сканирования на выявление уязвимости, чтобы иметь чёткое понимание текущего состояния своей инфраструктуры. Кроме того, стоит обратить внимание на усиление контроля доступа к аппарату, чтобы ограничить возможность неавторизованных тестов и атак.Появление CitrixBleed 2 демонстрирует тенденцию, когда старые уязвимости могут вновь возникать в новых продуктах, что требует от IT-специалистов постоянного внимания и осторожности. Институты, отвечающие за кибербезопасность и разработчики, должны обеспечить эффективный и своевременный обмен информацией, чтобы минимизировать ущерб от подобных инцидентов.
В результате, CVE-2025-5777 — это серьёзное предупреждение всему профессиональному сообществу, лежащее на пересечении технических недостатков и практических рисков эксплуатации. Для организаций важно не только исправлять ошибки после их обнаружения, но и развивать процессы безопасного жизненного цикла программного обеспечения, чтобы таких проблем становилось меньше. Эффективная борьба с уязвимостями подобного рода — залог безопасности корпоративных сетей и сохранности ценных данных в эпоху цифровой трансформации.
