Kritična ranjivost koja omogućava hakerima zaobilaženje višefaktorske autentifikacije na uređajima za upravljanje mrežom koje je izradio Citrix aktivno se koristi više od mjesec dana, tvrde istraživači. Ova informacija proturječi savjetima proizvođača koji kažu da nema dokaza o iskorištavanju u stvarnom svijetu.
Ranjivost označena kao CVE-2025-5777 dijeli sličnosti s ranjivošću CVE-2023-4966, sigurnosnom greškom poznatom kao CitrixBleed, koja je dovela do kompromitacije 20,000 Citrix uređaja prije dvije godine. Na popisu Citrixovih klijenata koji su hakirani tijekom eksploatacije CitrixBleed nalaze se Boeing, australska brodarska kompanija DP World, Komercijalna banka Kine i odvjetnička firma Allen & Overy. Također je kompromitirana mreža Comcast, što je omogućilo prijetnjama da ukradu podatke o lozinkama i druge osjetljive informacije 36 milijuna Xfinity korisnika.
Obje ranjivosti, CVE-2025-5777 i CVE-2023-4966, nalaze se u Citrixovim NetScaler Application Delivery Controller i NetScaler Gateway, koji pružaju ravnotežu opterećenja i jedinstveno prijavljivanje u poslovnim mrežama. Ranjivost uzrokuje da ranjivi uređaji ispuštaju – ili ‘krvare’ – male dijelove sadržaja memorije nakon primanja izmijenjenih zahtjeva poslanih putem interneta.
Ponovnim slanjem istih zahtjeva, hakeri mogu prikupiti dovoljno podataka za rekonstrukciju vjerodajnica. Izvorna ranjivost CitrixBleed imala je ocjenu ozbiljnosti 9.8, dok CitrixBleed 2 ima ocjenu 9.2.
Citrix je objavio noviju ranjivost i izdao sigurnosni zakrpu za nju 17. lipnja. U ažuriranju objavljenom devet dana kasnije, Citrix je izjavio da je ‘trenutno nesvjestan bilo kakvih dokaza o iskorištavanju.’ Od tada, tvrtka nije pružila nikakve nove informacije.
Istraživači, međutim, tvrde da su pronašli dokaze da se CitrixBleed 2, kako se novija ranjivost naziva, aktivno iskorištava već tjednima. Sigurnosna tvrtka Greynoise objavila je u ponedjeljak da su u pretraživanju svojih honeypot zapisa pronašli eksploataciju već 1. srpnja. U utorak je neovisni istraživač Kevin Beaumont rekao da telemetrija iz istih honeypot zapisa ukazuje da se CitrixBleed 2 iskorištava barem od 23. lipnja, tri dana prije nego što je Citrix rekao da nema dokaza o takvim napadima.
Neuspjeh Citrixa da objavi aktivno iskorištavanje samo je jedan od detalja za koje istraživači kažu da nedostaje u savjetima. Prošli tjedan, sigurnosna tvrtka watchTowr objavila je post pod naslovom ‘Koliko još moramo krvariti? – Citrix NetScaler otkrivanje memorije (CitrixBleed 2 CVE-2025-5777).’ Kritizirali su Citrix zbog zadržavanja indikatora koje bi kupci mogli koristiti za određivanje jesu li njihove mreže pod napadom. U ponedjeljak je sličnu izjavu dala i sigurnosna tvrtka Horizon3.ai.
