Основы Интернет - технологий.

В открытом доступе появились PoC-эксплоиты для критической уязвимости Citrix Bleed 2 (CVE-2025-5777). Исследователи предупреждают, что уязвимость можно легко эксплуатировать и похищать токены пользовательских сессий. Свежая уязвимость в Citrix NetScaler ADC и NetScaler Gateway получила название Citrix Bleed 2, потому что схожа с проблемой 2023 года, которая позволяла неаутентифицированным злоумышленникам перехватывать cookie сеанса аутентификации на уязвимых устройствах. Как объяснял известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont), давший название новой проблеме, она похожа н апечально известную уязвимость Citrix Bleed (CVE-2023-4966), которая несколько лет назад активно использовалась хакерами, включая вымогателей и «правительственные» группировки. Связанный с out-of-bounds чтением баг затрагивает устройства NetScaler, настроенные в качестве шлюза: виртуальный сервер VPN, ICA Proxy, Clientless VPN (CVPN), RDP Proxy или виртуальный сервер AAA. Уязвимость позволяет злоумышленникам получать содержимое памяти, просто создавая умышленно искаженные POST-запросы при попытках входа в систему. Разработчики Citrix выпустили патчи и настоятельно рекомендовали администраторам завершить все активные сеансы ICA и PCoIP после обновления, чтобы заблокировать потенциальным злоумышленникам доступ к любым перехваченным сеансам. Аналогичный совет Citrix давала в отношении оригинальной Citrix Bleed. Как теперь рассказывают эксперты компаний watchTowr и Horizon3, опубликовавшие технические анализы уязвимости, проблему можно использовать, отправляя некорректные запросы на вход в систему, где параметр login= изменен таким образом, чтобы он передавался без знака равенства или значения. В результате устройство NetScaler отображает содержимое памяти до первого нулевого байта в секции в теле ответа. По словам исследователей, баг вызван использованием функции snprintf вместе со строкой формата, содержащей %.*s, что приводит к утечке данных из памяти. При каждом запросе происходит утечка около 127 байт. Но атакующие могут выполнять повторные запросы для извлечения дополнительных данных. Специалисты Horizon3 продемонстрировали в видео, что уязвимость можно использовать для кражи токенов пользовательских сессий, хотя попытки исследователей watchTowr не увенчались успехом. Хотя представители Citrix утверждают, что подтвержденных случаев эксплуатации Citrix Bleed 2 в реальных атаках пока нет, о подозрительной активности вокруг CVE-2025-5777 еще в конце прошлого месяца предупреждали эксперты из компании ReliaQuest. Также заявления компании оспаривает уже упомянутый выше Кевин Бомонт. Исследователь пишет, что уязвимость активно эксплуатируется с середины июня, и злоумышленники применяют ее для извлечения данных из памяти и перехвата сессий. «Служба поддержки Citrix не раскрывает никаких индикаторов компрометации и ошибочно утверждает (снова, как и в случае с оригинальной Citrix Bleed), что эксплоитов не существует. Citrix следует поработать в этом направлении, они вредят своим клиентам», — пишет Бомонт.