Les chercheurs en sécurité mettent en garde contre le détournement de session et le contournement du MFA via un défaut NetScaler critique, exhortant les étapes d’atténuation immédiate.
Les utilisateurs de Citrix sont de retour dans la réticule, en tant que nouvelle vulnérabilité de lecture hors limites, rappelant le célèbre «Said Citrix Said», a fait surface avec des signes qui pointent déjà vers une exploitation active.
La vulnérabilité suivie comme CVE-2025-5777 et surnommée «Citrix Bleed 2» par les chercheurs, est un problème insuffisant de validation d’entrée affectant Citrix Netscaler ADC et les appareils de passerelle NetScaler, conduisant à la mémoire de mémoire comme décrit par un récent avis de Citrix.
Selon une recherche Reliaquest, le défaut pourrait déjà permettre aux attaquants de détourner les sessions utilisateur et de contourner l’authentification MFA. « Bien qu’aucune exploitation publique du CVE-2025-5777 n’ait été signalée, Reliaquest évalue avec une confiance moyenne que les attaquants exploitent activement cette vulnérabilité pour obtenir un accès initial à des environnements ciblés », ont déclaré les chercheurs dans un article de blog.
La tenue de cybersécurité exhorte les clients Citrix à corriger immédiatement les systèmes affectés et à suivre les étapes supplémentaires nécessaires décrites par l’entreprise pour s’assurer contre l’exploitation en cours.
Vol de jeton via la mémoire hors limites
La vulnérabilité, attribuée à une notation de gravité critique de CVSS 9.3 sur 10, découle d’une validation d’insuffisance d’entrée, permettant aux attaquants d’effectuer une mémoire hors limites en lecture sur les périphériques NetScaler configurés comme des serveurs virtuels de passerelle ou d’authentification, d’autorisation et de comptabilité (AAA).
La faille reflète la vulnérabilité d’origine du déni de déni de service (DOS) d’origine en ce qu’elle permet une fuite de mémoire, comme avec des demandes HTTP simples précédemment.
Contrairement aux tactiques de vol de biscuits à session traditionnelles, qui comprennent des attaques de scripts croisés (XSS) et d’homme dans le milieu (MITM), les jetons de session Citrix Said 2 cibles, qui sont souvent utilisés pour les API et l’authentification persistante. Ces jetons peuvent être volés et réutilisés pour contourner le MFA et maintenir l’accès, même après que les utilisateurs légitimes ont signé.
Kevin Beaumont, chercheur britannique en cybersécurité bien connu, Kevin Beaumont a comparé le défaut à «Kanye West retournant sur Twitter», le même vieux chaos mais plus fort.
Citrix a publié des correctifs le 17 juin pour les versions 14.1, 13.1 et les builds FIPS / NDCPP équivalents. Les versions 12.1 et 13.0 sont EOL et une mise à niveau est obligatoire.
Indications d’exploitation du monde réel
Les chercheurs de Reliaquest ont déclaré que, dans plusieurs incidents, les attaquants ont été vus de détourner des sessions Web Citrix active et de contourner l’authentification multi-facteurs (MFA) sans nécessiter des informations d’identification des utilisateurs. La recherche a également mis en évidence «la réutilisation de session sur plusieurs IP, y compris des combinaisons d’IPS attendus et suspects».
Dans des environnements compromis, les attaquants ont procédé à la reconnaissance post-authentification, à la publication des requêtes de protocole d’accès au répertoire léger (LDAP) et des outils de course comme Adexplorer64.exe pour cartographier les structures Active Directory.
« Plusieurs instances de l’outil » Adexplorer64.exe « dans l’environnement, interrogeant les groupes au niveau du domaine et les autorisations et se connectant à plusieurs contrôleurs de domaine, ont été observés », ont ajouté des chercheurs. De plus, bon nombre des séances malveillantes proviennent des services de services VPN et des IP du centre de données grand public, ce qui a encore masqué l’identité des attaquants tout en maintenant la persistance à l’intérieur des réseaux.
En plus d’appliquer les correctifs, il est également conseillé aux organisations de noter l’exposition externe à NetScaler (via des outils comme Shodan) et d’implémenter les ACL de réseau ou les restrictions d’accès jusqu’à ce qu’elles soient entièrement corrigées. Après avoir réussi, Citrix a conseillé aux administrateurs de résilier toutes les séances ICA et PCOIP actives pour une couche de protection supplémentaire.
