Был просто POST-запрос. Теперь — полный доступ к чужой сети. В этом весь Citrix
NewsMakerЭксплоит Horizon3 вскрыл память Citrix, но компания продолжает молчать.
Специалисты представили рабочие эксплойты для критической уязвимости в устройствах Citrix NetScaler ADC и Gateway. Проблема получила идентификатор CVE-2025-5777 и неофициальное название CitrixBleed2 — в явной отсылке к аналогичной уязвимости 2023 года, которая широко использовалась в атаках вымогателей и на государственные организации. Новая уязвимость позволяет злоумышленникам легко получить данные из оперативной памяти устройств, включая токены пользовательских сессий.
CitrixBleed2 проявляется в момент входа в систему через отправку специально сформированных POST-запросов. Суть атаки заключается в том, что параметр login в теле запроса указывается без знака равенства и значения. В результате NetScaler возвращает часть содержимого памяти — до первого нулевого байта — внутри XML-элемента. Такая реакция вызвана использованием функции
Команда watchTowr первой опубликовала техническое описание бага, отметив, что в процессе тестов получить чувствительные данные им не удалось. Однако специалисты из Horizon3 смогли воспроизвести атаку и получить токены активных сессий, а также подтвердили, что уязвимость распространяется и на конфигурационные утилиты, используемые администраторами.
Несмотря на наличие рабочих эксплойтов и видео-демонстрацию успешной атаки, Citrix продолжает утверждать , что CVE-2025-5777 в дикой природе не эксплуатируется. Компания ссылается на собственный блог, где указывается, что пока не зафиксировано ни одного подтверждённого случая взлома через данную уязвимость.
Однако отчёт ReliaQuest говорит об обратном: фиксируется рост случаев захвата пользовательских сессий, а сам механизм атаки указывает на возможную эксплуатацию именно этой уязвимости. Схожее мнение озвучивает и независимый специалист по безопасности Кевин Бомонт, который обнаружил в логах NetScaler характерные признаки атаки — в частности, повторяющиеся POST-запросы к
Бомонт подчёркивает, что всё это стало возможным лишь благодаря публикациям команд watchTowr и Horizon3. Без них заметить активную эксплуатацию было бы затруднительно, особенно с учётом отказа Citrix делиться индикаторами компрометации. Он также указывает, что подобное поведение компании уже наблюдалось при инциденте с первой уязвимостью CitrixBleed в 2023 году.
Для устранения угрозы Citrix выпустила обновления прошивки, которые закрывают дыру. Также рекомендуется вручную завершить все активные ICA- и PCoIP-сессии, но перед этим — проверить их на наличие подозрительных признаков. При наличии аномалий в логах или подозрительных токенов, может потребоваться перезапуск всей инфраструктуры аутентификации.
Специалисты представили рабочие эксплойты для критической уязвимости в устройствах Citrix NetScaler ADC и Gateway. Проблема получила идентификатор CVE-2025-5777 и неофициальное название CitrixBleed2 — в явной отсылке к аналогичной уязвимости 2023 года, которая широко использовалась в атаках вымогателей и на государственные организации. Новая уязвимость позволяет злоумышленникам легко получить данные из оперативной памяти устройств, включая токены пользовательских сессий.
CitrixBleed2 проявляется в момент входа в систему через отправку специально сформированных POST-запросов. Суть атаки заключается в том, что параметр login в теле запроса указывается без знака равенства и значения. В результате NetScaler возвращает часть содержимого памяти — до первого нулевого байта — внутри XML-элемента
snprintf с форматной строкой %.*s, которая заставляет систему возвращать до 127 байт неинициализированных данных из стека при каждом обращении к уязвимому эндпоинту. Команда watchTowr первой опубликовала техническое описание бага, отметив, что в процессе тестов получить чувствительные данные им не удалось. Однако специалисты из Horizon3 смогли воспроизвести атаку и получить токены активных сессий, а также подтвердили, что уязвимость распространяется и на конфигурационные утилиты, используемые администраторами.
Несмотря на наличие рабочих эксплойтов и видео-демонстрацию успешной атаки, Citrix продолжает утверждать , что CVE-2025-5777 в дикой природе не эксплуатируется. Компания ссылается на собственный блог, где указывается, что пока не зафиксировано ни одного подтверждённого случая взлома через данную уязвимость.
Однако отчёт ReliaQuest говорит об обратном: фиксируется рост случаев захвата пользовательских сессий, а сам механизм атаки указывает на возможную эксплуатацию именно этой уязвимости. Схожее мнение озвучивает и независимый специалист по безопасности Кевин Бомонт, который обнаружил в логах NetScaler характерные признаки атаки — в частности, повторяющиеся POST-запросы к
doAuthentication, каждый из которых приводил к утечке 126 байт оперативной памяти. Кроме того, в логах сессий появлялись строки с символом # в поле имени пользователя — RAM «вливалась» в неправильные поля, что может быть признаком несанкционированного доступа. Бомонт подчёркивает, что всё это стало возможным лишь благодаря публикациям команд watchTowr и Horizon3. Без них заметить активную эксплуатацию было бы затруднительно, особенно с учётом отказа Citrix делиться индикаторами компрометации. Он также указывает, что подобное поведение компании уже наблюдалось при инциденте с первой уязвимостью CitrixBleed в 2023 году.
Для устранения угрозы Citrix выпустила обновления прошивки, которые закрывают дыру. Также рекомендуется вручную завершить все активные ICA- и PCoIP-сессии, но перед этим — проверить их на наличие подозрительных признаков. При наличии аномалий в логах или подозрительных токенов, может потребоваться перезапуск всей инфраструктуры аутентификации.