Власти и исследователи усиливают предупреждения об активной эксплуатации и повсеместном сканировании критической уязвимости, затрагивающей несколько версий продуктов Citrix NetScaler.
Среди специалистов по безопасности сложилось общее мнение, что критическая уязвимость CVE-2025-5777 , о которой Citrix сообщила 17 июня , является серьёзной и связана с уязвимостью 2023 года в тех же продуктах: « CitrixBleed », или CVE-2023-4966 . Естественно, охотники за угрозами стремятся оценить и предотвратить поразительно похожие проблемы, вызванные эксплойтами новейшей CVE.
Для некоторых клиентов Citrix предупреждения запоздали. Сканирование уязвимостей подтверждает, что активные эксплойты были обнаружены в течение недели после обнаружения, и злоумышленники активно охотятся за уязвимыми устройствами с тех пор, как подробности об эксплойтах были опубликованы ранее в этом месяце.
«Эта уязвимость в системах Citrix NetScaler ADC и Gateway, также известная как CitrixBleed 2, представляет собой значительный, неприемлемый риск для безопасности федерального гражданского предприятия», — заявил Крис Бутера, исполняющий обязанности исполнительного помощника директора по кибербезопасности Агентства кибербезопасности и безопасности инфраструктуры. 10 июля Агентство CISA добавило эксплойт в свой каталог известных эксплуатируемых уязвимостей .
«Как американское агентство киберзащиты и оперативный руководитель федеральной гражданской кибербезопасности, CISA принимает срочные меры, поручая агентствам устранить уязвимости в течение 24 часов, и мы призываем все организации сделать это незамедлительно», — добавил Бутера. Агентство обычно требует от агентств устранения уязвимостей «высокого риска» в течение 30 дней, а уязвимостей «критического риска» — в течение 15 дней.
Уязвимость удалённого раскрытия памяти до аутентификации, имеющая оценку CVSS 9,3, всё чаще становится целью атак по всему миру. Исследователи Imperva в пятницу заявили, что с момента обнаружения уязвимости они зафиксировали более 11,5 миллионов попыток атак, направленных на тысячи сайтов.
«Похоже, что злоумышленники активно сканируют сеть в поисках уязвимых экземпляров и пытаются воспользоваться уязвимостью утечки памяти для сбора конфиденциальных данных», — сообщили исследователи Imperva в своем блоге.
По данным Imperva, почти две из пяти попыток атак были направлены на сайты в сфере финансовых услуг, а три из пяти таких целевых сайтов находятся в Соединенных Штатах.
Сканирование GreyNoise выявило 22 уникальных вредоносных IP-адреса, пытающихся эксплуатировать уязвимость CVE-2025-5777. Первый вредоносный IP-адрес был обнаружен 23 июня, а в пятницу был зафиксирован всплеск из 11 уникальных вредоносных IP-адресов.
«Я пока не заметил никакого снижения числа уязвимостей. Ситуация может быть столь же серьёзной, как CitrixBleed, или даже хуже», — рассказал CyberScoop Дастин Чайлдс, руководитель отдела осведомлённости об угрозах в рамках инициативы Zero Day Initiative компании Trend Micro. «Атака очень часто повторяется, и эти системы редко оснащаются системой мониторинга сети. Кроме того, они не обновляются регулярно, поэтому установка исправлений может быть проблематичной».
Число клиентов Citrix, уже пострадавших от атаки, остается неизвестным, и жертвы пока не объявились.
«Многие атаки кажутся случайными, поэтому, вероятно, уязвимость используют несколько злоумышленников», — сказал Чайлдс.
Citrix утверждает, что на момент раскрытия информации об уязвимости не было никаких доказательств её активной эксплуатации. Компания не публиковала информацию почти три недели, за исключением сообщения в блоге от 26 июня, в котором говорилось, что CISA известно о доказательствах её активной эксплуатации. Компания не ответила на запрос о комментарии.
В июньском сообщении блога Анил Шетти, старший вице-президент по разработке NetScaler, оспорил сравнение CVE-2025-5777 и CVE-2023-4966. «Хотя эти уязвимости имеют некоторые общие характеристики, Cloud Software Group не нашла доказательств, указывающих на их связь», — написал Шетти. Cloud Software Group — материнская компания Citrix.
Исследователи также критикуют Citrix за относительную легкость, с которой злоумышленник может взломать уязвимый экземпляр Citrix NetScaler всего с помощью нескольких запросов.
«Термин «CitrixBleed» используется потому, что утечка памяти может быть вызвана многократной отправкой одной и той же полезной нагрузки, при этом каждая попытка приводит к утечке нового фрагмента стековой памяти, что фактически приводит к утечке конфиденциальной информации», — говорится в сообщении Akamai Security Intelligence Group в блоге .
Исследователи Akamai описали основную причину уязвимости как «неинициализированную переменную входа в сочетании с неправильной обработкой памяти, отсутствием проверки входных данных и отсутствием обработки ошибок в логике аутентификации Citrix NetScaler».
Независимый исследователь кибербезопасности Зак Эдвардс сообщил CyberScoop, что уязвимости CVE-2025-5777 и CVE-2023-4966 «чрезвычайно похожи», если не считать незначительных различий в затронутых версиях NetScaler.
«Тот факт, что эти уязвимости предварительной аутентификации продолжают появляться, что может привести к полной компрометации, разочаровывает», — сказал Эдвардс. «Неясно, как эти серьёзные уязвимости продолжают проникать в процессы разработки, но клиенты Citrix, особенно в государственном и корпоративном секторах, должны требовать большего и предоставлять общественности дополнительную информацию о мерах, принимаемых Citrix для тестирования своего программного обеспечения перед выпуском».
Среди специалистов по безопасности сложилось общее мнение, что критическая уязвимость CVE-2025-5777 , о которой Citrix сообщила 17 июня , является серьёзной и связана с уязвимостью 2023 года в тех же продуктах: « CitrixBleed », или CVE-2023-4966 . Естественно, охотники за угрозами стремятся оценить и предотвратить поразительно похожие проблемы, вызванные эксплойтами новейшей CVE.
Для некоторых клиентов Citrix предупреждения запоздали. Сканирование уязвимостей подтверждает, что активные эксплойты были обнаружены в течение недели после обнаружения, и злоумышленники активно охотятся за уязвимыми устройствами с тех пор, как подробности об эксплойтах были опубликованы ранее в этом месяце.
«Эта уязвимость в системах Citrix NetScaler ADC и Gateway, также известная как CitrixBleed 2, представляет собой значительный, неприемлемый риск для безопасности федерального гражданского предприятия», — заявил Крис Бутера, исполняющий обязанности исполнительного помощника директора по кибербезопасности Агентства кибербезопасности и безопасности инфраструктуры. 10 июля Агентство CISA добавило эксплойт в свой каталог известных эксплуатируемых уязвимостей .
«Как американское агентство киберзащиты и оперативный руководитель федеральной гражданской кибербезопасности, CISA принимает срочные меры, поручая агентствам устранить уязвимости в течение 24 часов, и мы призываем все организации сделать это незамедлительно», — добавил Бутера. Агентство обычно требует от агентств устранения уязвимостей «высокого риска» в течение 30 дней, а уязвимостей «критического риска» — в течение 15 дней.
Уязвимость удалённого раскрытия памяти до аутентификации, имеющая оценку CVSS 9,3, всё чаще становится целью атак по всему миру. Исследователи Imperva в пятницу заявили, что с момента обнаружения уязвимости они зафиксировали более 11,5 миллионов попыток атак, направленных на тысячи сайтов.
«Похоже, что злоумышленники активно сканируют сеть в поисках уязвимых экземпляров и пытаются воспользоваться уязвимостью утечки памяти для сбора конфиденциальных данных», — сообщили исследователи Imperva в своем блоге.
По данным Imperva, почти две из пяти попыток атак были направлены на сайты в сфере финансовых услуг, а три из пяти таких целевых сайтов находятся в Соединенных Штатах.
Сканирование GreyNoise выявило 22 уникальных вредоносных IP-адреса, пытающихся эксплуатировать уязвимость CVE-2025-5777. Первый вредоносный IP-адрес был обнаружен 23 июня, а в пятницу был зафиксирован всплеск из 11 уникальных вредоносных IP-адресов.
«Я пока не заметил никакого снижения числа уязвимостей. Ситуация может быть столь же серьёзной, как CitrixBleed, или даже хуже», — рассказал CyberScoop Дастин Чайлдс, руководитель отдела осведомлённости об угрозах в рамках инициативы Zero Day Initiative компании Trend Micro. «Атака очень часто повторяется, и эти системы редко оснащаются системой мониторинга сети. Кроме того, они не обновляются регулярно, поэтому установка исправлений может быть проблематичной».
Число клиентов Citrix, уже пострадавших от атаки, остается неизвестным, и жертвы пока не объявились.
«Многие атаки кажутся случайными, поэтому, вероятно, уязвимость используют несколько злоумышленников», — сказал Чайлдс.
Citrix утверждает, что на момент раскрытия информации об уязвимости не было никаких доказательств её активной эксплуатации. Компания не публиковала информацию почти три недели, за исключением сообщения в блоге от 26 июня, в котором говорилось, что CISA известно о доказательствах её активной эксплуатации. Компания не ответила на запрос о комментарии.
В июньском сообщении блога Анил Шетти, старший вице-президент по разработке NetScaler, оспорил сравнение CVE-2025-5777 и CVE-2023-4966. «Хотя эти уязвимости имеют некоторые общие характеристики, Cloud Software Group не нашла доказательств, указывающих на их связь», — написал Шетти. Cloud Software Group — материнская компания Citrix.
Исследователи также критикуют Citrix за относительную легкость, с которой злоумышленник может взломать уязвимый экземпляр Citrix NetScaler всего с помощью нескольких запросов.
«Термин «CitrixBleed» используется потому, что утечка памяти может быть вызвана многократной отправкой одной и той же полезной нагрузки, при этом каждая попытка приводит к утечке нового фрагмента стековой памяти, что фактически приводит к утечке конфиденциальной информации», — говорится в сообщении Akamai Security Intelligence Group в блоге .
Исследователи Akamai описали основную причину уязвимости как «неинициализированную переменную входа в сочетании с неправильной обработкой памяти, отсутствием проверки входных данных и отсутствием обработки ошибок в логике аутентификации Citrix NetScaler».
Независимый исследователь кибербезопасности Зак Эдвардс сообщил CyberScoop, что уязвимости CVE-2025-5777 и CVE-2023-4966 «чрезвычайно похожи», если не считать незначительных различий в затронутых версиях NetScaler.
«Тот факт, что эти уязвимости предварительной аутентификации продолжают появляться, что может привести к полной компрометации, разочаровывает», — сказал Эдвардс. «Неясно, как эти серьёзные уязвимости продолжают проникать в процессы разработки, но клиенты Citrix, особенно в государственном и корпоративном секторах, должны требовать большего и предоставлять общественности дополнительную информацию о мерах, принимаемых Citrix для тестирования своего программного обеспечения перед выпуском».
