CISA Xác nhận lỗ hổng Citrix Bleed 2 đang bị khai thác tích cực

Trang ChủTin Tức* CISA đã thêm một lỗ hổng nghiêm trọng của Citrix NetScaler (CVE-2025-5777) vào Danh Mục Lỗ Hổng Đã Biết Bị Khai Thác sau khi xác nhận có các cuộc tấn công đang diễn ra.

• Lỗ hổng, được gọi là "Citrix Bleed 2," cho phép vượt qua xác thực và đọc bộ nhớ quá mức, dẫn đến khả năng lộ thông tin nhạy cảm.
• Các nhà nghiên cứu bảo mật và các nhà cung cấp đã báo cáo về việc khai thác liên tục từ các kẻ tấn công, mặc dù Citrix vẫn chưa cập nhật các thông báo của mình.
• Kẻ tấn công nhắm vào các thiết bị mạng quan trọng, đặt mạng doanh nghiệp vào nguy cơ, trong khi CISA khuyến nghị vá lỗi ngay lập tức và kết thúc các phiên làm việc.
• Các lỗ hổng khác, chẳng hạn như CVE-2024-36401 trong GeoServer, cũng đang được sử dụng trong các cuộc tấn công, bao gồm việc triển khai phần mềm độc hại khai thác tiền điện tử. Vào ngày 10 tháng 7 năm 2025, Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Citrix NetScaler ADC và Gateway vào danh mục Các lỗ hổng đã biết bị khai thác (KEV). Hành động này xác nhận rằng lỗ hổng, được xác định là CVE-2025-5777, đang được sử dụng trong các cuộc tấn công mạng đang diễn ra.

• Quảng cáo - CVE-2025-5777, còn được gọi là “Citrix Bleed 2,” có điểm số CVSS là 9.3. Lỗ hổng này tồn tại do xác thực đầu vào không đủ. Khi bị khai thác, nó cho phép kẻ tấn công vượt qua xác thực trên các hệ thống được thiết lập như một Gateway hoặc máy chủ ảo AAA. Vấn đề này gây ra việc đọc dư bộ nhớ, có thể tiết lộ thông tin nhạy cảm.

Một báo cáo của nhà nghiên cứu an ninh Kevin Beaumont cho biết việc khai thác bắt đầu vào giữa tháng Sáu. Một trong các địa chỉ IP của kẻ tấn công được cho là có liên quan đến nhóm RansomHub Ransomware. Dữ liệu từ GreyNoise cho thấy có 10 địa chỉ IP độc hại từ nhiều quốc gia, với Hoa Kỳ, Pháp, Đức, Ấn Độ và Ý là những mục tiêu hàng đầu. Citrix chưa xác nhận hoạt động khai thác trong các thông báo chính thức của mình tính đến ngày 26 tháng 6 năm 2025.

Rủi ro của lỗ hổng này là cao vì các thiết bị bị ảnh hưởng thường hoạt động như VPN hoặc máy chủ xác thực. “Mã phiên và các dữ liệu nhạy cảm khác có thể bị lộ — có khả năng cho phép truy cập trái phép vào các ứng dụng nội bộ, VPN, mạng trung tâm dữ liệu và mạng nội bộ,” theo Akamai. Các chuyên gia cảnh báo rằng những kẻ tấn công có thể có quyền truy cập rộng hơn vào các mạng doanh nghiệp bằng cách khai thác các thiết bị dễ bị tổn thương và chuyển tiếp đến các hệ thống nội bộ khác.

CISA khuyên tất cả các tổ chức cập nhật lên các phiên bản đã được vá của Citrix được liệt kê trong thông báo ngày 17 tháng 6 của họ, chẳng hạn như phiên bản 14.1-43.56 hoặc mới hơn. Sau khi vá lỗi, các quản trị viên nên kết thúc tất cả các phiên làm việc đang hoạt động để không còn giá trị bất kỳ mã thông báo xác thực nào bị đánh cắp. Các nhóm bảo mật nên xem xét các nhật ký để tìm kiếm hoạt động bất thường trên các điểm cuối xác thực, vì lỗi này có thể cho phép đánh cắp mã thông báo và phát lại phiên mà không để lại dấu vết phần mềm độc hại tiêu chuẩn.

Trong các sự kiện riêng lẻ, các kẻ tấn công đang khai thác một lỗ hổng nghiêm trọng trong OSGeo GeoServer GeoTools (CVE-2024-36401, điểm số CVSS: 9.8) để cài đặt NetCat và XMRig coin miners ở Hàn Quốc. Khi được cài đặt, các thợ đào này sử dụng tài nguyên hệ thống để tạo ra tiền điện tử, với NetCat cho phép thực hiện các hành động độc hại khác hoặc đánh cắp dữ liệu.

Các bài viết trước:

• Bitcoin đạt mức kỷ lục 116.000 USD khi đợt tăng giá nâng cao thị trường tiền điện tử.
• Stablecoins Chiếm Lĩnh DeFi, Đặt Ra Các Câu Hỏi Về Rủi Ro Tập Trung
• Plasma Sets Bán Token Ngày 17 Tháng 7 Trước Mainnet, Stablecoin Mới
• Vương quốc Anh bắt giữ bốn người trong các cuộc tấn công mạng lớn vào M&S, Co-op, Harrods
• SharpLink Gần Kỷ Lục Là Nhà Nắm Giữ Ethereum Doanh Nghiệp Lớn Nhất

• Quảng cáo -