9.3 балла по CVSS и один HTTP-запрос: как украсть сессию у любого пользователя Citrix
NewsMakerВаша корпоративная сеть — это музей, где экспонаты берут без билета.
Новая опасная уязвимость в устройствах Citrix вновь заставила заговорить о старых проблемах безопасности. Спустя полтора года после громкого инцидента с уязвимостью CitrixBleed , когда злоумышленники могли с помощью простого HTTP-запроса извлечь из памяти устройств конфиденциальные данные, ситуация фактически повторяется. На этот раз речь идёт о новой уязвимости CVE-2025-5777 (оценка CVSS: 9.3), которая снова затрагивает популярные решения компании — Citrix NetScaler, используемые для удалённого доступа и организации безопасного соединения.
Изначально информация об уязвимости появилась 17 июня 2025 года и касалась интерфейса управления NetScaler . Однако в последующем описание проблемы было обновлено — из него убрали упоминание Management Interface, что сразу сделало угрозу значительно более широкой и актуальной для тысяч организаций по всему миру.
Проблема затрагивает те устройства NetScaler, которые настроены как шлюзы или виртуальные серверы AAA — такие конфигурации используются для организации удалённого доступа, работы через Citrix, протоколов RDP и других популярных корпоративных решений. Именно поэтому угроза затрагивает не отдельные уникальные случаи, а массово распространённые инфраструктуры крупных компаний.
Суть уязвимости в том, что удалённый злоумышленник может без какой-либо авторизации отправить специальный запрос к устройству и получить из его памяти данные. Эти данные могут включать чувствительную информацию, например, сессионные токены, которые позволяют перехватывать активные сеансы и обходить многофакторную аутентификацию. Фактически, повторяется известный по CitrixBleed сценарий атаки, когда злоумышленники, получая сессионные ключи из памяти устройств, могли незаметно подключаться к чужим системам от имени легитимных пользователей.
В пользу опасности ситуации говорит и тот факт, что поиск уязвимых устройств через сервисы вроде Shodan остаётся крайне простым. Достаточно знать хеш-значения фавикона устройств NetScaler, чтобы за считаные минуты обнаружить потенциальные цели среди открытых в интернет систем. К тому же уязвимость не требует никаких особых навыков — атака возможна дистанционно и без предварительного взлома учётных записей.
В связи с этим Citrix выпустила официальные рекомендации для всех владельцев NetScaler. Специалисты компании настоятельно советуют немедленно обновить устройства до исправленных версий прошивки, а также принудительно завершить все активные сессии пользователей после обновления. Для этого следует вручную выполнить команды:
На данный момент компания Citrix заявляет, что фактов эксплуатации новой уязвимости CVE-2025-5777 в реальных атаках пока не зафиксировано. Однако стоит учитывать, что и в случае с CitrixBleed аналогичные заверения звучали до первых обнаруженных инцидентов. Пока отсутствуют официальные методы детектирования использования уязвимости, поэтому единственной разумной стратегией остаётся экстренное обновление систем.
Интересно, что обнаружение проблемы связано сразу с двумя разными командами. Citrix упоминает Positive Technologies и итальянскую CERT-структуру ITA MOD CERT (CERTDIFESA) как авторов двух отдельных уязвимостей, но кто именно первым выявил CVE-2025-5777 — официально не уточняется.
В очередной раз ситуация подчёркивает уязвимость корпоративных инфраструктур, завязанных на удалённый доступ и VPN-сервисы. Даже давно известные риски, казалось бы, учтённые после прошлых инцидентов, возвращаются, едва изменится формулировка описания или выявится новый вектор атаки.
Новая опасная уязвимость в устройствах Citrix вновь заставила заговорить о старых проблемах безопасности. Спустя полтора года после громкого инцидента с уязвимостью CitrixBleed , когда злоумышленники могли с помощью простого HTTP-запроса извлечь из памяти устройств конфиденциальные данные, ситуация фактически повторяется. На этот раз речь идёт о новой уязвимости CVE-2025-5777 (оценка CVSS: 9.3), которая снова затрагивает популярные решения компании — Citrix NetScaler, используемые для удалённого доступа и организации безопасного соединения.
Изначально информация об уязвимости появилась 17 июня 2025 года и касалась интерфейса управления NetScaler . Однако в последующем описание проблемы было обновлено — из него убрали упоминание Management Interface, что сразу сделало угрозу значительно более широкой и актуальной для тысяч организаций по всему миру.
Проблема затрагивает те устройства NetScaler, которые настроены как шлюзы или виртуальные серверы AAA — такие конфигурации используются для организации удалённого доступа, работы через Citrix, протоколов RDP и других популярных корпоративных решений. Именно поэтому угроза затрагивает не отдельные уникальные случаи, а массово распространённые инфраструктуры крупных компаний.
Суть уязвимости в том, что удалённый злоумышленник может без какой-либо авторизации отправить специальный запрос к устройству и получить из его памяти данные. Эти данные могут включать чувствительную информацию, например, сессионные токены, которые позволяют перехватывать активные сеансы и обходить многофакторную аутентификацию. Фактически, повторяется известный по CitrixBleed сценарий атаки, когда злоумышленники, получая сессионные ключи из памяти устройств, могли незаметно подключаться к чужим системам от имени легитимных пользователей.
В пользу опасности ситуации говорит и тот факт, что поиск уязвимых устройств через сервисы вроде Shodan остаётся крайне простым. Достаточно знать хеш-значения фавикона устройств NetScaler, чтобы за считаные минуты обнаружить потенциальные цели среди открытых в интернет систем. К тому же уязвимость не требует никаких особых навыков — атака возможна дистанционно и без предварительного взлома учётных записей.
В связи с этим Citrix выпустила официальные рекомендации для всех владельцев NetScaler. Специалисты компании настоятельно советуют немедленно обновить устройства до исправленных версий прошивки, а также принудительно завершить все активные сессии пользователей после обновления. Для этого следует вручную выполнить команды:
Это стандартная мера предосторожности, ранее применявшаяся и при устранении последствий CitrixBleed. Если этого не сделать, перехваченные до обновления сессионные токены могут продолжать использоваться злоумышленниками.
kill icaconnection -all kill pcoipConnection -all
На данный момент компания Citrix заявляет, что фактов эксплуатации новой уязвимости CVE-2025-5777 в реальных атаках пока не зафиксировано. Однако стоит учитывать, что и в случае с CitrixBleed аналогичные заверения звучали до первых обнаруженных инцидентов. Пока отсутствуют официальные методы детектирования использования уязвимости, поэтому единственной разумной стратегией остаётся экстренное обновление систем.
Интересно, что обнаружение проблемы связано сразу с двумя разными командами. Citrix упоминает Positive Technologies и итальянскую CERT-структуру ITA MOD CERT (CERTDIFESA) как авторов двух отдельных уязвимостей, но кто именно первым выявил CVE-2025-5777 — официально не уточняется.
В очередной раз ситуация подчёркивает уязвимость корпоративных инфраструктур, завязанных на удалённый доступ и VPN-сервисы. Даже давно известные риски, казалось бы, учтённые после прошлых инцидентов, возвращаются, едва изменится формулировка описания или выявится новый вектор атаки.