В последние годы архитектуры удалённого доступа и виртуализации, такие как Citrix NetScaler ADC и NetScaler Gateway, стали неотъемлемой частью инфраструктуры многих организаций. Они позволяют сотрудникам безопасно подключаться к корпоративным ресурсам из любой точки мира, обеспечивая гибкость и удобство работы. Однако массовое использование таких решений привлекает внимание злоумышленников, которые ищут способы эксплуатировать уязвимости для получения несанкционированного доступа к внутренним сетям. В 2025 году специалисты выявили новую критическую уязвимость, обозначенную как CitrixBleed 2 (CVE-2025-5777). Эта проблема уже получила широкое освещение в профессиональном сообществе и демонстрирует реальную опасность, поскольку она активно используется злоумышленниками в подготовленных атаках против корпоративных сетей.
Суть уязвимости заключается в баге типа out-of-bounds чтения, затрагивающем устройства Citrix, настроенные в качестве шлюзов, таких как виртуальный сервер VPN, ICA Proxy, Clientless VPN (CVPN), RDP Proxy или виртуальный сервер AAA. Такой сбой позволяет злоумышленникам захватывать токены сессионной аутентификации, что в свою очередь ведёт к возможности обхода многофакторной аутентификации и захвату пользовательских сессий. Не стоит недооценивать масштаб угрозы. Исследователь и ИБ-эксперт Кевин Бомонт, который первым ввёл название «CitrixBleed 2», подчёркивает, что эта уязвимость напрямую связана с ранее известной проблемой CitrixBleed (CVE-2023-4966), которой злоумышленники уже пользовались в течение нескольких лет. Причиной такого интереса хакеров является не только возможность получить учетные данные, но и последующий доступ к корпоративным данным, системам и управлению инфраструктурой.
По данным аналитиков из ReliaQuest, атаки с применением CitrixBleed 2 уже фиксируются на практике. Эксперты наблюдают подозрительные сессии, где злоумышленники используют украденные сессионные токены для аутентификации без участия пользователя, что свидетельствует об обходе механизмов защиты. Кроме того, злоумышленники применяют тот же сессионный ключ, подключаясь с разных IP-адресов, включая адреса дата-центров и VPN-провайдеров, что демонстрирует стремление укрыть свою активность в анонимной сети. Когда злоумышленники получают первичный доступ с помощью уязвимости, они начинают активное изучение внутренней сети через LDAP-запросы, пытаясь определить структуру Active Directory, пользователей, разрешения и группы. Это классический сценарий подготовки для дальнейших этапов атаки, который может привести к установлению постоянного контроля над корпоративной системой.
Вместе с этим обнаруживается запуск таких утилит, как ADExplorer64.exe, на многочисленных системах, что является индикатором скоординированного и целенаправленного проникновения с разведывательной целью. Это не просто случайная атака, а комплексная кампания с применением современных техник скрытного доступа и маскировки. С учётом серьёзности угрозы специалисты настоятельно рекомендуют как можно скорее обновить программное обеспечение Citrix NetScaler до версий 14.1-43.
56 и выше, 13.1-58.32 и выше, а также 13.1-FIPS/NDcPP 13.1-37.
235 и выше. Обновление устраняет уязвимость и значительно снижает риск компрометации. Также необходимо сразу после обновления завершить все активные сессии ICA и PCoIP, чтобы обезопасить системы от дальнейшего использования злоумышленниками ранее перехваченных сессий. Опыт прошлых лет показывает, что без этих мер уязвимость может оставаться в эксплуатации и оставлять организацию беззащитной. Помимо технических мер рекомендуется пересмотреть и усилить внутренние политики безопасности, включая контроль доступа, мониторинг сессий, и применение многофакторной аутентификации с учётом возможных обходных путей.
Отдельное внимание стоит уделить анализу логов и событиям, которые могут указывать на попытки захвата сессий или аномальную активность в сети. Создание постоянного мониторинга и быстрых реагирующих команд позволит минимизировать потенциальный ущерб. Развитие технологии и внедрение новых подходов к безопасности требует от IT-специалистов и руководителей повышенного внимания к возникающим угрозам. CitrixBleed 2 наглядно демонстрирует, что даже проверенные решения с большой пользовательской базой могут содержать критические уязвимости, которые актуальны на протяжении нескольких лет. Без своевременных обновлений и адекватных действий по защите риск потери данных, репутации и финансовых убытков остаётся очень высоким.
В условиях роста сложности киберугроз важно не только реагировать на инциденты, но и постоянно совершенствовать защитные меры. Обучение сотрудников, внедрение современных систем предотвращения вторжений и регулярные аудиты безопасности станут ключевыми элементами успешной защиты корпоративной инфраструктуры. Подытоживая, CitrixBleed 2 – серьёзный вызов для всех организаций, использующих технологии Citrix. Реальные атаки на базе этой уязвимости уже фиксируются, что требует оперативного вмешательства и обновления систем. Соблюдение рекомендаций разработчиков и постоянный мониторинг безопасности помогут минимизировать риски и сохранить целостность корпоративной сети.
Таким образом, эффективная защита от CitrixBleed 2 невозможна без комплексного подхода, объединяющего технические средства, политику информационной безопасности и повышение осведомлённости персонала.
