В четверг федеральное агентство по кибербезопасности США внесло уязвимость CVE-2025-5777 для Citrix NetScaler ADC и Gateway в список особо опасных — подтверждено, что ей уже пользуются хакеры по всему миру.
Уязвимость CVE-2025-5777 (оценка по критичности CVSS: 9,3) возникла из-за отсутствия корректной проверки входящих данных. Из-за этой дыры киберпреступники могут обходить авторизацию на устройствах Citrix, если они настроены как Gateway или виртуальный сервер AAA. Эту уязвимость уже прозвали Citrix Bleed 2 по аналогии со знаменитым Citrix Bleed (CVE-2023-4966).
Citrix Bleed 2
«В продуктах Citrix NetScaler ADC и Gateway обнаружена критическая уязвимость типа out-of-bounds read, связанная с недостаточной проверкой данных, — сообщают специалисты агентства. — Если устройство настроено как сервер VPN, ICA Proxy, RDP Proxy или AAA-сервер, злоумышленник может считать из памяти лишнюю информацию».
Несмотря на уже подтвержденные атаки на компании с использованием этой уязвимости, сама Citrix до сих пор не обновила свои уведомления с официальным подтверждением. На 26 июня 2025 года вице-президент NetScaler Анил Шетти заявил: «На данный момент у нас нет информации о подтвержденной эксплуатации CVE-2025-5777».
Однако известный эксперт по кибербезопасности Кевин Бомонт отмечает, что хакеры эксплуатируют Citrix Bleed 2 еще с середины июня. Один из задействованных IP-адресов уже ранее фигурировал в атаках с вымогательским ПО RansomHub.
По данным GreyNoise, только за последний месяц атаки шли минимум с десяти разных вредоносных IP-адресов из Болгарии, США, Китая, Египта и Финляндии. Под основным ударом оказались компании в США, Франции, Германии, Индии и Италии.
Добавление CVE-2025-5777 в реестр KEV совпало с активной атакой на другую уязвимость Citrix (CVE-2025-6543, критичность 9,2), которая была добавлена в этот список 30 июня 2025 года.
«Уязвимость Citrix Bleed получила свое название потому, что с помощью специального запроса можно сколько угодно получать новые куски памяти — происходит настоящее “вытекание” секретных данных», — предупреждают в Akamai. — Сразу после публикации эксплойта мы видим всплеск сканирования уязвимости со всего мира».
«Проблема крайне опасна: такие устройства часто используются как VPN или прокси. Если утечет сессионный токен или другие чувствительные данные, хакеры легко смогут прорваться к внутренним сервисам, дата-центрам и всей корпоративной сети».
NetScaler часто становится центральными “воротами” компании, поэтому злоумышленник может одним махом получить доступ к SSO-панели, облачным сервисам и управляющим интерфейсам. Такое “путешествие” по внутренним сегментам сети особенно опасно для гибридных ИТ-инфраструктур с плохой внутренней сегментацией.
Чтобы защититься, срочно обновитесь до последних версий, которые Citrix указала в уведомлении от 17 июня — начиная с версии 14.1-43.56 и выше. После обновления обязательно завершите все активные сессии через AAA или Gateway, чтобы сбросить возможные украденные токены.
Администраторам стоит внимательно изучить логи (в том числе ns.log) на поиск подозрительных обращений к точкам аутентификации, например /p/u/doAuthentication.do, и обратить внимание на неожиданные XML-поля вроде <InitialValue>. Детектировать вредоносную активность сложно — уязвимость работает на уровне чтения памяти и не всегда оставляет типичные следы, поэтому большой риск сейчас связан с кражей токенов и повторным использованием сессий.
Тем временем появились сообщения и о массовых атаках через уязвимость в OSGeo GeoServer GeoTools (CVE-2024-36401, критичность 9,8). Ее используют для установки NetCat и криптомайнера XMRig в сетях Южной Кореи — через PowerShell и shell-скрипты. Эту дыру CISA добавило в свой список особо опасных в июле 2024 года.
«Злоумышленники сканируют GeoServer c уязвимостями как на Windows, так и на Linux – после чего на взломанные машины ставят NetCat и майнер XMRig», — сообщают в AhnLab.
«После установки майнера компьютер начинает добывать Monero, все его ресурсы идут на пользу злоумышленников. Через установленный NetCat они могут добавлять новое ПО или воровать данные с зараженного устройства».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru