CISA Mengonfirmasi Kerentanan Citrix Bleed 2 yang Dieksploitasi Secara Aktif

HomeBerita* CISA menambahkan kerentanan kritis Citrix NetScaler (CVE-2025-5777) ke dalam Katalog Kerentanan yang Diketahui Dieksploitasi setelah konfirmasi serangan aktif.

• Kerentanan yang disebut "Citrix Bleed 2" memungkinkan pengabaian otentikasi dan pembacaan memori yang berlebihan, yang dapat menyebabkan potensi paparan data sensitif.
• Peneliti keamanan dan vendor telah melaporkan eksploitasi yang sedang berlangsung oleh penyerang, meskipun Citrix belum memperbarui penasihatannya sendiri.
• Penyerang menargetkan perangkat jaringan kritis, menempatkan jaringan perusahaan dalam risiko, sementara CISA merekomendasikan perbaikan segera dan penghentian sesi paksa.
• Kerentanan lain, seperti CVE-2024-36401 di GeoServer, juga digunakan dalam serangan, termasuk penyebaran Malware penambangan crypto. Pada 10 Juli 2025, Cybersecurity and Infrastructure Security Agency (CISA) AS menambahkan kerentanan keamanan kritis yang memengaruhi Citrix NetScaler ADC dan Gateway ke dalam katalog Kerentanan yang Dikenal Dieksploitasi (KEV). Langkah ini mengonfirmasi bahwa kerentanan yang diidentifikasi sebagai CVE-2025-5777, sedang digunakan dalam serangan siber aktif.

• Iklan - CVE-2025-5777, juga dikenal sebagai "Citrix Bleed 2," memiliki skor CVSS sebesar 9.3. Kerentanan ini ada karena kurangnya validasi input yang memadai. Saat dieksploitasi, ini memungkinkan penyerang untuk melewati otentikasi pada sistem yang disetel sebagai Gateway atau server virtual AAA. Masalah ini menyebabkan pembacaan memori yang berlebihan, yang berpotensi mengungkapkan informasi sensitif.

Sebuah laporan oleh peneliti keamanan Kevin Beaumont menyatakan bahwa eksploitasi dimulai pada pertengahan Juni. Salah satu alamat IP penyerang dilaporkan terhubung dengan grup RansomHub Ransomware. Data dari GreyNoise menunjukkan 10 alamat IP jahat dari berbagai negara, dengan Amerika Serikat, Prancis, Jerman, India, dan Italia sebagai target utama. Citrix belum mengonfirmasi aktivitas eksploitasi dalam penasihat resmi mereka hingga 26 Juni 2025.

Risiko kerentanan ini tinggi karena perangkat yang terpengaruh sering berfungsi sebagai VPN atau server otentikasi. "Token sesi dan data sensitif lainnya dapat terekspos — berpotensi memungkinkan akses tidak sah ke aplikasi internal, VPN, jaringan pusat data, dan jaringan internal," menurut Akamai. Para ahli memperingatkan bahwa penyerang mungkin mendapatkan akses lebih luas ke jaringan perusahaan dengan mengeksploitasi perangkat yang rentan dan berpindah ke sistem internal lainnya.

CISA menyarankan semua organisasi untuk memperbarui ke build Citrix yang telah diperbaiki yang terdaftar dalam pemberitahuan 17 Juni, seperti versi 14.1-43.56 atau yang lebih baru. Setelah melakukan perbaikan, administrator harus mengakhiri semua sesi aktif untuk membatalkan token otentikasi yang dicuri. Tim keamanan harus meninjau log untuk aktivitas tidak biasa pada titik akhir otentikasi, karena celah ini dapat memungkinkan pencurian token dan pemutaran sesi tanpa meninggalkan jejak malware standar.

Dalam insiden terpisah, penyerang mengeksploitasi celah kritis di OSGeo GeoServer GeoTools (CVE-2024-36401, skor CVSS: 9.8) untuk menginstal NetCat dan penambang koin XMRig di Korea Selatan. Setelah diinstal, penambang ini menggunakan sumber daya sistem untuk menghasilkan cryptocurrency, dengan NetCat memungkinkan tindakan jahat lebih lanjut atau pencurian data.

Artikel Sebelumnya:

• Bitcoin Mencapai Rekor $116,000 saat Rally Mengangkat Pasar Kripto Lebih Tinggi
• Stablecoin Mendominasi DeFi, Menimbulkan Pertanyaan Tentang Risiko Sentralisasi
• Penjualan Token Plasma Sets 17 Juli Menjelang Mainnet, Stablecoin Baru
• Inggris Menangkap Empat dalam Serangan Siber Ritel Besar terhadap M&S, Co-op, Harrods
• SharpLink Mendekati Rekor Sebagai Pemegang Ethereum Korporat Terbesar

• Iklan -