CISA подтверждает, что уязвимость Citrix Bleed 2 активно эксплуатируется

ДомНовости* CISA добавила критическую уязвимость Citrix NetScaler (CVE-2025-5777) в свой Каталог известных эксплуатируемых уязвимостей после подтверждения активных атак.

• Уязвимость, называемая "Citrix Bleed 2", позволяет обойти аутентификацию и осуществлять избыточное чтение памяти, что может привести к потенциальному раскрытию конфиденциальных данных.
• Исследователи в области безопасности и поставщики сообщили о продолжающейся эксплуатации со стороны злоумышленников, несмотря на то, что Citrix еще не обновил свои собственные рекомендации.
• Злоумышленники нацеливаются на критически важные сетевые устройства, ставя предприятия под угрозу, в то время как CISA рекомендует немедленно установить патчи и принудительно завершить сессии.
• Другие уязвимости, такие как CVE-2024-36401 в GeoServer, также используются в атаках, включая развертывание вредоносного ПО для криптомайнинга. 10 июля 2025 года Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавило критическую уязвимость, касающуюся Citrix NetScaler ADC и Gateway, в свой каталог известных эксплуатируемых уязвимостей (KEV). Этот шаг подтверждает, что уязвимость, идентифицированная как CVE-2025-5777, используется в активных кибератаках.

• Реклама - CVE-2025-5777, также известная как "Citrix Bleed 2", имеет оценку CVSS 9.3. Уязвимость существует из-за недостаточной проверки входных данных. При эксплуатации она позволяет злоумышленникам обходить аутентификацию на системах, настроенных как шлюз или виртуальный сервер AAA. Эта проблема вызывает переполнение памяти, что может привести к раскрытию конфиденциальной информации.

Отчет исследователя безопасности Кевина Бомонта сообщил, что эксплуатация началась в середине июня. Один из IP-адресов злоумышленников, как сообщается, был связан с группой программ-вымогателей RansomHub. Данные от GreyNoise указали на 10 вредоносных IP-адресов из нескольких стран, при этом Соединенные Штаты, Франция, Германия, Индия и Италия были основными целями. Citrix не подтвердила активность эксплуатации в своих официальных рекомендациях на 26 июня 2025 года.

Риск уязвимости высок, поскольку затронутые устройства часто выступают в роли VPN или серверов аутентификации. "Токены сеансов и другие чувствительные данные могут быть раскрыты — что потенциально позволяет несанкционированный доступ к внутренним приложениям, VPN, сетям центров обработки данных и внутренним сетям," согласно Akamai. Эксперты предупреждают, что злоумышленники могут получить более широкий доступ к корпоративным сетям, используя уязвимые устройства и переходя к другим внутренним системам.

CISA рекомендует всем организациям обновиться до исправленных сборок Citrix, указанных в его уведомлении от 17 июня, таких как версия 14.1-43.56 или более поздняя. После установки патча администраторы должны завершить все активные сеансы, чтобы аннулировать любые украденные токены аутентификации. Команды безопасности должны просмотреть журналы на предмет необычной активности на конечных точках аутентификации, так как этот недостаток может позволить кражу токенов и воспроизведение сеансов без оставления стандартных следов вредоносного ПО.

В отдельных инцидентах злоумышленники эксплуатируют критическую уязвимость в OSGeo GeoServer GeoTools (CVE-2024-36401, CVSS балл: 9.8) для установки coin-майнеров NetCat и XMRig в Южной Корее. После установки эти майнеры используют системные ресурсы для генерации криптовалюты, при этом NetCat позволяет осуществлять дальнейшие вредоносные действия или кражу данных.

Предыдущие статьи:

• Биткойн достигает рекорда в 116 000 $ на фоне ралли, поднимающего криптовалютные рынки выше
• Стейблкоины доминируют в DeFi, поднимая вопросы о рисках централизации
• Plasma Sets 17 июля Продажа токенов перед основной сетью, Новые стейблкоины
• В Великобритании арестованы четверо по делу о крупных кибератаках на M&S, Co-op, Harrods
• SharpLink приближается к рекорду как крупнейший корпоративный держатель Ethereum

• Реклама -