Основы Интернет - технологий.

По данным специалистов ReliaQuest, критическая уязвимость Citrix Bleed 2 (CVE-2025-5777) уже может использоваться в атаках. Исследователи наблюдают рост числа подозрительных сессий на устройствах Citrix. Напомним, что свежая уязвимость в Citrix NetScaler ADC и NetScaler Gateway получила название Citrix Bleed 2, потому что схожа с проблемой 2023 года, которая позволяла неаутентифицированным злоумышленникам перехватывать cookie сеанса аутентификации на уязвимых устройствах. Связанный с out-of-bounds чтением баг затрагивает устройства NetScaler, настроенные в качестве шлюза: виртуальный сервер VPN, ICA Proxy, Clientless VPN (CVPN), RDP Proxy или виртуальный сервер AAA. Как объяснял известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont), давший название новой проблеме, она перекликается с печально известной уязвимостью Citrix Bleed (CVE-2023-4966), которая несколько лет назад активно использовалась хакерами, включая вымогателей и «правительственные» группировки. Бомонт описал CVE-2025-5777 как «Citrix Bleed 2», заявляя, что эта проблема тоже позволяет получить доступ к токенам сеансов, учетным данным и другим конфиденциальным данным с публичных шлюзов и виртуальных серверов. А утечка токенов может привести к перехвату пользовательских сессий и обходу многофакторной аутентификации. Разработчики Citrix уже выпустили патчи и настоятельно рекомендовали администраторам завершить все активные сеансы ICA и PCoIP после обновления, чтобы заблокировать потенциальным злоумышленникам доступ к любым перехваченным сеансам. Аналогичный совет Citrix давала в отношении оригинальной Citrix Bleed. Как теперь сообщают специалисты из ReliaQuest, проблема CVE-2025-5777 может использоваться в целевых атаках. «Хотя о публичной эксплуатации CVE-2025-5777, получившей название Citrix Bleed 2, пока не сообщалось, ReliaQuest со средней степенью уверенности полагает, что злоумышленники активно используют эту уязвимость для получения первоначального доступа к целевым средам», — предупреждают эксперты. Выводы о начавшихся атаках основаны на результатах следующих наблюдений: были замечены перехваченные веб-сессии Citrix, в которых аутентификация осуществлялась без взаимодействия с пользователем, что указывает на то, что злоумышленники обходят мультифакторную аутентификацию, используя украденные сессионные токены; злоумышленники повторно использовали одну и ту же сессию Citrix как с легитимных, так и с подозрительных IP-адресов, что указывает на перехват сессии; после получения доступа были инициированы запросы LDAP, то есть атакующие изучали Active Directory для определения пользователей, групп и разрешений; несколько экземпляров ADExplorer64.exe запускались в разных системах, что свидетельствует о скоординированной разведке, изучении домена и попытках подключения к различным контроллерам домена; сессии Citrix исходили с IP-адресов дата-центров, связанных с VPN-провайдерами (например DataCamp), что свидетельствует о маскировке злоумышленников с помощью анонимной инфраструктуры. Исследователи напоминают, что для защиты от атак на Citrix Bleed 2 следует как можно скорее обновиться до версий 14.1-43.56 , 13.1-58.32 и 13.1-FIPS/NDcPP 13.1-37.235 .