CISA підтверджує, що вразливість Citrix Bleed 2 активно експлуатується

ГоловнаНовини* CISA додала критичну вразливість Citrix NetScaler (CVE-2025-5777) до свого Каталогу відомих вразливостей після підтвердження активних атак.

• Уразливість, яка називається "Citrix Bleed 2", дозволяє обійти аутентифікацію та перевищення пам'яті, що може призвести до потенційного витоку чутливих даних.
• Дослідники з безпеки та постачальники повідомили про триваюче використання вразливостей зловмисниками, незважаючи на те, що Citrix ще не оновив свої власні рекомендації.
• Зловмисники націлюються на критично важливі мережеві пристрої, ставлячи під загрозу корпоративні мережі, тоді як CISA рекомендує термінове виправлення та примусове завершення сеансів.
• Інші вразливості, такі як CVE-2024-36401 у GeoServer, також використовуються в атаках, включаючи розгортання шкідливого програмного забезпечення для криптодобування. 10 липня 2025 року Кібербезпеки та агенція захисту інфраструктури США (CISA) додала критичну вразливість безпеки, що впливає на Citrix NetScaler ADC та Gateway, до свого каталогу відомих експлуатованих вразливостей (KEV). Цей крок підтверджує, що вразливість, ідентифікована як CVE-2025-5777, використовується в активних кібератаках.

• Реклама - CVE-2025-5777, також відомий як "Citrix Bleed 2", має оцінку CVSS 9.3. Уразливість існує через недостатню перевірку вхідних даних. При експлуатації вона дозволяє зловмисникам обходити аутентифікацію на системах, налаштованих як шлюз або AAA віртуальний сервер. Ця проблема викликає перевищення пам'яті, що може призвести до розкриття чутливої інформації.

Звіт дослідника безпеки Кевіна Бомонта свідчить, що експлуатація почалася в середині червня. Один з IP-адрес атакуючих, як повідомляється, був пов'язаний з групою-вимагачем RansomHub. Дані з GreyNoise вказують на 10 шкідливих IP-адрес з кількох країн, при цьому США, Франція, Німеччина, Індія та Італія є основними цілями. Citrix не підтвердила активність експлуатації у своїх офіційних рекомендаціях станом на 26 червня 2025 року.

Ризик вразливості є високим, оскільки уражені пристрої часто виконують роль VPN або серверів аутентифікації. "Сесійні токени та інші чутливі дані можуть бути вразливими — це може дозволити несанкціонований доступ до внутрішніх програм, VPN, мереж дата-центрів та внутрішніх мереж," згідно з Akamai. Експерти попереджають, що зловмисники можуть отримати ширший доступ до корпоративних мереж, експлуатуючи вразливі пристрої та переходячи до інших внутрішніх систем.

CISA радить всім організаціям оновити до виправлених збірок Citrix, зазначених у його оголошенні від 17 червня, таких як версія 14.1-43.56 або новіша. Після виправлення адміністратори повинні завершити всі активні сесії, щоб анулювати будь-які вкрадені токени автентифікації. Команди безпеки повинні переглянути журнали на предмет незвичної активності на кінцевих точках автентифікації, оскільки ця вразливість може дозволити викрадення токенів і повторну атаку сесії без залишення стандартних слідів шкідливого ПЗ.

У окремих інцидентах зловмисники експлуатують критичну вразливість у OSGeo GeoServer GeoTools (CVE-2024-36401, оцінка CVSS: 9.8), щоб встановити майнери монет NetCat та XMRig у Південній Кореї. Після встановлення ці цілих використовують системні ресурси для генерації криптовалюти, а NetCat дозволяє здійснювати подальші злочинні дії або крадіжку даних.

Попередні статті:

• Біткоїн досягає рекорду $116,000 у міру того, як ріст піднімає крипто-ринок вище
• Стейблкоїни домінують у DeFi, піднімаючи питання про ризики централізації
• Plasma Sets 17 липня продаж токенів перед запуском основної мережі, нові стейблкоїни
• У Великій Британії арештовано чотирьох осіб у зв'язку з великими кібератаками на M&S, Co-op, Harrods
• SharpLink наближається до рекорду як найбільший корпоративний власник Ethereum

• Реклама -