В начале июля 2025 года Агентство кибербезопасности и инфраструктурной безопасности США (CISA) официально добавило критическую уязвимость CVE-2025-5777, затрагивающую Citrix NetScaler ADC и Gateway, в свой каталог известных эксплуатируемых уязвимостей (KEV). Это событие подтвердило, что уязвимость активно используется злоумышленниками в реальных атаках, что вызывает серьезную обеспокоенность среди организаций, особенно государственных и корпоративных секторов. Уязвимость, получившая неофициальное название Citrix Bleed 2, представляет собой проблему недостаточной проверки входных данных, позволяющую обходить механизмы аутентификации на устройствах Citrix, если они сконфигурированы как Gateway или AAA виртуальные серверы. Такие системы часто выступают в роли центральных шлюзов для удаленного доступа, VPN, прокси-серверов и систем единой аутентификации, что делает их крайне привлекательной мишенью для киберпреступников. CVE-2025-5777 имеет высокий рейтинг опасности — CVSS балл 9.
3, что свидетельствует о серьезности потенциальных последствий эксплуатации этой уязвимости. Злоумышленники могут получить доступ к сессионным токенам и другой конфиденциальной информации, что открывает им путь к проникновению в корпоративные системы, обходу защиты, краже данных и разворачиванию дальнейших атак с внутренней сети. Примечательно, что эта уязвимость похожа по своей природе на ранее выявленную проблему Citrix Bleed (CVE-2023-4966), что подтверждает тенденцию использования методов утечки памяти в системах Citrix для обхода безопасности. Несмотря на то, что Citrix первоначально заявляла об отсутствии доказательств эксплуатации CVE-2025-5777, независимые исследователи и аналитики угроз подтверждают, что атаки начались как минимум с середины июня 2025 года. Одним из исследователей, который сообщил об этом, является Кевин Бомонт, отметивший связь активности с IP-адресами, ранее ассоциированными с операциями группировки RansomHub.
Данные мониторинга с платформы GreyNoise указывают на то, что атаки исходят с IP-адресов, расположенных в различных странах — от Болгарии и США до Китая, Египта и Финляндии. Среди основных целей находятся крупные государства и регионы с развитой IT-инфраструктурой, включая США, Германию, Францию, Индию и Италию. Добавление CVE-2025-5777 в KEV каталог от CISA сопровождается также и тем, что и другая серьезная уязвимость в том же продукте Citrix (CVE-2025-6543) находится в стадии активной эксплуатации. Её оценочный CVSS балл равен 9.2, что практически сравнимо с Bleed 2.
Производитель уже выпустил обновления, адресующие обе проблемы, детали которых были обнародованы 17 июня 2025 года. Для обеспечения безопасности следует немедленно обновить программное обеспечение Citrix NetScaler до версии 14.1-43.56 и выше, а также внимательно проверить логи устройства на предмет подозрительной активности. Особое внимание рекомендуется уделить аутентификационным запросам и ответам, в частности обращать внимание на запросы к таким точкам входа, как /p/u/doAuthentication.
do и непривычные XML-поля, которые могут свидетельствовать о попытках эксплоита. Угроза от «Citrix Bleed 2» особенно велика для организаций с гибридными IT-системами, где внутренние сегменты сети могут быть недостаточно изолированы. При успешном взломе злоумышленники могут получить доступ к административным панелям, сессионным токенам, VPN-подключениям и облачным сервисам, что значительно усложняет обнаружение вторжений и остановку атак. Нежелательные последствия могут включать утечку конфиденциальной информации, компрометацию деловых приложений и нарушение работы критически важных сервисов. Помимо внутренней аудитории, CISA активно призывает все федеральные ведомства выполнить обязательную установку патчей в рекордно короткие сроки — до конца дня 11 июля 2025 года, что является одним из самых сжатых графиков обновления в истории агентства.
Такой подход подчеркивает неотложность проблемы и ее высокий уровень риска. В комментариях Acting Executive Assistant Director for Cybersecurity Крис Батера подчеркнул, что эксплуатируемая уязвимость представляет «неприемлемый уровень угрозы» для федеральной инфраструктуры, и недопустимо откладывать процесс обновления и внедрение защитных мер. Помимо локальных мер безопасности, экспертное сообщество рекомендует организациям пересмотреть политику сегментации сети и минимизировать количество сервисов, доступных извне, чтобы снизить поверхность атаки. Также приветствуется внедрение многофакторной аутентификации и непрерывного мониторинга активности на периферийных устройствах безопасности. Важным моментом является тот факт, что эксплуатация CVE-2025-5777 не оставляет привычных следов заражения, таких как вредоносные файлы или внедрение вирусов.
Это делает задачи обнаружения атаки и реагирования гораздо сложнее, требуя от специалистов использования поведенческого анализа и специализированных средств защиты, ориентированных на выявление аномальной сетевой активности и поведения пользователей. Помимо самой уязвимости Citrix NetScaler, стоит обратить внимание на контекст киберугроз, которые активно развиваются в 2025 году. Например, уязвимость в OSGeo GeoServer (CVE-2024-36401) была использована для установки майнеров криптовалют и инструментов удаленного управления, что является дополнительным свидетельством возрастающего интереса злоумышленников к инфраструктуре глобальных компаний. В связи с этим специалисты советуют компаниям уделять постоянное внимание обновлениям всех критически важных компонентов и систем в своей сети, не ограничиваясь только аппаратурой Citrix. Итоговая картина свидетельствует о том, что ситуация с уязвимостью Citrix NetScaler CVE-2025-5777 требует безотлагательной реакции со стороны владельцев и администраторов сетей.
Игнорирование проблемы может привести к масштабным инцидентам с нарушением безопасности, репутационным потерям и существенным финансовым ущербом. На фоне растущей активности хакерских групп, использующих автоматизированные инструменты и ботнеты для массового сканирования и взлома, своевременное обновление ПО и внедрение комплексных подходов к защите информационной инфраструктуры являются единственным надежным способом снизить риск и обеспечить безопасность корпоративных данных. Пользователи и IT-поддержка должны внимательно следить за официальными релизами Citrix и рекомендациями CISA, постоянно улучшать процессы мониторинга безопасности и не допускать пренебрежения мерами защиты, особенно в условиях появления новых, еще более сложных угроз. Таким образом, CVE-2025-5777 — это сигнал тревоги для всего сообщества кибербезопасности, свидетельствующий о необходимости постоянного развития и адаптации стратегий защиты, чтобы успешно противостоять современным вызовам цифровой эпохи.
