Au milieu des rapports déroutants sur les exploits Citrix NetScaler dans la nature, les chercheurs proposent des analyses techniques et des indicateurs de compromis pour l’une des vulnérabilités surnommées Citrix Bleed 2 qui peuvent conduire à un détournement de session.
Les chercheurs en sécurité ont publié une analyse technique et un code d’exploitation de preuve de concept pour une vulnérabilité critique fixée le mois dernier dans les appareils Citrix Netscaler qui sont soupçonnés d’avoir été exploités dans la nature, bien qu’à titre limité et sans confirmation officielle de Citrix. Les entreprises sont invités à déployer les correctifs et à utiliser des indicateurs de compromis publiés (IOC) pour vérifier leurs appareils pour les signes de violation.
La vulnérabilité, suivie sous le nom de CVE-2025-5777 et surnommée Citrix Bleed 2 dans la communauté de la sécurité, a été corrigée le 17 juin aux côtés d’un autre défaut à haut risque identifié comme CVE-2025-5349. Bien que l’avis initial ne mentionne pas l’exploitation de la volonté et n’ait pas été mis à jour depuis, les chercheurs de la société de sécurité Reliaquest ont rapporté le 26 juin qu’ils croyaient avec une confiance moyenne que les attaquants exploitent déjà la vulnérabilité à l’authentification du contournement et l’authentification multifactorielle.
Confusion de vulnérabilité
Pendant ce temps, une troisième vulnérabilité Citrix a été corrigée le 25 juin, suivie sous le nom de CVE-2025-6543 pour lequel il existe des signes d’exploitation active, selon le groupe de logiciels de cloud de Citrix, qui gère Netscaler.
Cela a causé une confusion dans la communauté de la sécurité quant à laquelle Flaw est ciblé par les attaquants, CVE-2025-5777 ou CVE-2025-6543, ou les deux. Les IOC pour CVE-2025-6543 sont disponibles sur demande auprès du Citrix Cloud Software Group, mais il n’y a eu aucune information pour CVE-2025-5777 jusqu’à cette semaine, étant donné que Citrix n’a vu aucune preuve d’exploits actifs.
Les chercheurs des sociétés de sécurité Watchtowr et Horizon3.ai ont indépendamment inversé les correctifs et ont publié des analyses et des CIO pour la vulnérabilité qu’ils croient être CVE-2025-5777, dans le but d’aider les organisations à développer des détections au milieu de la confusion.
«Nous nous sommes activement engagés dans les coulisses, partageant des informations et des reproducteur avec la base d’utilisateurs de la plate-forme Watchtowr, qui comptent sur notre technologie pour déterminer rapidement leur exposition, et de nombreux organismes de l’industrie pour faire notre part dans une réponse mondiale plus large», ont écrit des chercheurs de Watchtowr dans leur rapport approfondi. «Nous avons été amenés à croire que le partage d’informations sous forme de CIO, les artefacts d’exploitation et plus d’éléments qui seraient utiles pour les utilisateurs finaux de Citrix NetScaler a été…« minimal », ce qui met ces utilisateurs dans une position difficile lorsqu’ils déterminent s’ils ont besoin de sonner une alarme interne.»
Dans un rapport distinct, les chercheurs d’Horizon3 ont déclaré: «Bien que nous ayons développé un exploit de travail pour l’un de ces problèmes… il est un peu difficile de savoir qui est donné les détails techniques clairsemés dans les conseils. Il est également totalement possible que nous ayons trébuché sur un autre problème connexe qui a été corrigé par inadvertance dans ces versions. »
Similitudes avec le saignement Citrix d’origine
Le CVE-2025-5777 a été surnommé Citrix Said 2 en raison de ses similitudes avec une vulnérabilité de divulgation d’informations zéro-jours fixée en octobre 2023 (CVE-2023-4966) qui a reçu le surnom de saignement Citrix car il a permis aux attaquants de fuir les jetages de session de mémoire, permettant la prise de contrôle de la séance avec des vitesses d’authentification multifactor.
De même, CVE-2025-5777 peut conduire à une condition de mémoire de mémoire via des demandes HTTP conçues envoyées à un point de terminaison d’application Web spécifique appelé doauthentication.do. Cela fuit la mémoire interne, 127 octets à la fois, qui pourrait contenir des jetons d’authentification et d’autres informations sensibles.
Au cours de leurs tests, les chercheurs de Watchtowr n’ont pas réussi à trouver des cookies d’authentification, des identifiants de session ou des mots de passe dans le contenu divulgué, mais ont noté que sur un appareil de production avec plus de connexions utilisateur, les choses seront probablement différentes. Pendant ce temps, les chercheurs Horizon3 ont obtenu des jetons de session utilisateur légitimes en exécutant l’exploit plus longtemps sur leur appliance de test.
« Cela ne se limite pas aux points de terminaison accessibles aux utilisateurs normaux », ont écrit les chercheurs Horizon3. «Les administrateurs des utilitaires de configuration utilisent pour gérer les points de terminaison de la passerelle NetScaler utilisent également cet espace mémoire, ce qui signifie que ces jetons sont également vulnérables au vol.»
Le défaut affecte NetScaler ADC (anciennement Citrix ADC) et NetScaler Gateway (anciennement Citrix Gateway) lorsqu’il est configuré comme une passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou un serveur d’autorisation d’authentification et d’audit (AAA). Il n’y a pas de travail manuel ou d’atténuation en plus d’appliquer les correctifs. Les organisations qui n’ont pas encore mis à jour devraient encore déployer les dernières versions disponibles pour leurs succursales de version, qui incluront également des correctifs pour la vulnérabilité confirmée activement CVE-2025-6543.
Détection de compromis
En termes de CIO, les chercheurs Horizon3 conseillent la recherche ns.log Pour les entrées de journal avec des caractères non imprimables, ce qui peut être un bon indicateur que quelque chose ne va pas.
« L’avis de Citrix recommande de mettre fin aux séances ICA et PCOIP existantes, ce qui nous amène à croire que les critères de terminaison liés à ces caractéristiques sont ciblés », ont conclu les chercheurs d’Horizon3. «Les entrées pour ces journaux peuvent contenir également le contenu de la mémoire divulguée, qui peut ou non inclure des jetons de session.»
Les administrateurs sont également invités à auditer toutes les sessions actives sur leurs appareils, ce qui peut être effectué à partir de l’interface de «NetScaler Gateway -> Sessions utilisateur actives -> Sélectionnez Contexte applicable -> Continue show sessions ou show <service> session Commandes.
Si un appareil est compromis, les attaquants sont susceptibles d’ajouter des comptes de porte dérobée, de vider et de modifier la configuration de l’appareil avec des mécanismes de persistance et de déployer des outils d’accès à distance – toutes les actions prises lors de l’exploitation d’origine Citrix Said également.
De telles modifications doivent être capturées par les journaux, mais les chercheurs préviennent que si les séances d’administration ou les informations d’identification sont compromises, les attaquants auraient accès à la modification des configurations de la journalisation.
«Si des sauvegardes de configuration sont en place, affichant la configuration en cours d’exécution actuelle via show ns runningConfig -withDefaults et le comparer à un bon soutien connu avec une sorte d’utilité de difficulté (comme via diff -u backup.config current.config) est un bon point de départ », ont déclaré les chercheurs d’Horizon3.
Pendant ce temps, Watchtowr Redeachers a publié des demandes et réponses HTTP de preuve de concept qui peuvent être utilisées pour construire des scripts de balayage afin de déterminer l’exploitabilité des appareils NetScaler contre ce défaut.
