В мире информационной безопасности постоянное обновление и устранение уязвимостей играет ключевую роль в защите корпоративных систем и данных. Недавно исследователи безопасности обнародовали две значительные уязвимости, затрагивающие популярные корпоративные решения — систему Citrix NetScaler ADC и графический интерфейс SAP GUI для Windows и Java. Обе эти уязвимости, получившие высокие оценки по шкале CVSS, представляют серьезную опасность для организаций и требуют незамедлительного внимания специалистов по информационной безопасности. Первая проблематика связана с критической уязвимостью Citrix, обозначенной как CVE-2025-5777, получившей неофициальное название Citrix Bleed 2. Основная суть этого дефекта заключается в недостаточной проверке входных данных в системе NetScaler ADC, что позволяет злоумышленникам посредством специально сконструированных запросов несанкционированно получать действительные сессионные токены из памяти устройства.
Такая атака фактически обходят процедуры аутентификации, предоставляя хакерам доступ к системе без подтверждения личности. Уязвимость активно затрагивает настройки, когда NetScaler функционирует как Gateway или сервер AAA. Несмотря на отсутствие прямых свидетельств эксплуатаций этой уязвимости в массовом масштабе, специалисты предупреждают о высокой вероятности её использования в будущем. Компания Citrix оперативно выпустила обновления, устраняющие проблему, включая версии NetScaler ADC и Gateway начиная с 14.1-43.
56, 13.1-58.32 и выше. Помимо исправления, рекомендовано завершение всех активных сессий ICA и PCoIP с помощью специально предусмотренных команд, что помогает предотвратить возможные риски дальнейшей эксплуатации старых токенов. Исследователи также призывают организации отказаться от использования устаревших версий 12.
1 и 13.0, которые уже достигли конца срока поддержки и не получают обновлений безопасности. Важно подчеркнуть, что сведения от ReliaQuest подтверждают признаки эксплуатации CVE-2025-5777 в реальных условиях, включая похищение сессий Citrix с обходом многофакторной аутентификации и проведение активной разведки внутри корпоративных сетей. Вторая критическая угроза связана с уязвимостями в SAP GUI, известными как CVE-2025-0055 и CVE-2025-0056. Они касаются двух вариантов графического интерфейса SAP – для Windows и Java соответственно.
Главный риск вытекает из незащищённого хранения истории ввода данных пользователями. За счёт особенностей кодирования и шифрования эта информация оказывается легкодоступна для злоумышленников, имеющих физический или административный доступ к устройству. История ввода предполагает автоматическое сохранение значений, введённых ранее в различные поля, чтобы упростить работу пользователей и минимизировать ошибки. Однако, данные, сохраняемые в специальных локальных папках, включают конфиденциальные сведения — логины, идентификационные номера, банковские реквизиты и названия внутренних таблиц SAP. В случае Windows используется слабое XOR-шифрование, которое без труда дешифруется, а версия для Java хранит данные вовсе без шифрования в виде сериализованных объектов, что существенно упрощает доступ к ним без специальных инструментов.
Злоумышленник, обладающий правами администратора или получивший доступ к пользовательским директориям, может с лёгкостью извлечь эту информацию. Такие данные представляют реальную угрозу для конфиденциальности и безопасности, позволяя атакующим получать сведения, которые могут быть использованы для дальнейших атак, социальной инженерии или финансовых мошенничеств. Помимо этого, выявленные SAP-уязвимости стали причиной третьей проблемы безопасности — CVE-2025-0059, которая связана с SAP NetWeaver Application Server ABAP. На данный момент для неё отсутствует официальный патч, что подчеркивает важность своевременного внедрения в инфраструктуру дополнительных мер защиты. Эксперты настоятельно рекомендуют организациям отключить функцию сохранения истории ввода в SAP GUI и удалить накопленные файлы с историей из указанных каталогов.
Это поможет минимизировать риск несанкционированного сбора данных с локальных устройств. Совокупно данные уязвимости демонстрируют, насколько критично важно уделять внимание не только серверным системам, но и клиентскому ПО, а также обеспечивать надежную защиту рабочего окружения пользователей. Помимо прямой угрозы, такие уязвимости расширяют поверхность атаки для злоумышленников, открывая дополнительные каналы для компрометации целевых систем. В свете этих событий компаниям рекомендуется пересмотреть свои стратегии защиты, включив в них постоянный мониторинг опасных состояний, обновление программного обеспечения сразу после публикации патчей и строгий контроль доступа к рабочим станциям и серверным сервисам. Использование комплексных решений по предотвращению вторжений, систем обнаружения аномалий и многофакторной аутентификации может значительно снизить вероятность успешной эксплуатации аналогичных брешей в будущем.
