Hackuritate

Icon-linkedin Facebook X-twitter BlueSky
știri infosec zise pe românește

A început exploatarea Citrix Bleed 2 pentru acces inițial

Deși nu au fost raportate public, experții în monitorizarea amenințărilor informatice au identificat activități care indică exploatarea vulnerabilității Citrix Bleed 2 (CVE-2025-5777).

Un atacator care exploatează această problemă de securitate poate obține acces inițial în mediile digitale vizate, urmând dezvoltarea intruziunii prin extinderea în rețea.

Într-un anunț, compania de securitate cibernetică ReliaQuest avertizează că este posibil să fi început deja exploatarea Citrix Bleed 2, informația fiind bazată pe câțiva indicatori observați în mediile clienților:

  • sesiuni web Citrix deturnate de pe dispozitivul NetScaler, unde autentificarea a fost acordată fără știrea utilizatorului, indicând evitarea protecției de autorizare în pași multipli (multi-factor authentication – MFA)
  • reutilizarea sesiunilor pe mai multe adrese IP, inclusiv combinații de IP-uri cunoscute și IP-uri suspecte
  • interogări LDAP asociate cu activități de recunoaștere a Active Directory
  • prezența mai multor instanțe ale utilitarului „ADExplorer64.exe” care au interogat grupuri și permisiuni la nivel de domeniu și conexiuni la multipli controlori de domeniu
  • sesiuni Citrix care provin de la adrese IP ale unor centre de date, precum cele asociate cu DataCamp, sugerând utilizarea serviciilor VPN pentru consumatori

Totuși, ReliaQuest notează că are un nivel mediu de încredere referitor la activitatea de exploatare din partea hackerilor.

Actualizări și mitigări disponibile

Citrix Bleed 2 vizează token-urile de sesiune și permite atacatorilor să extragă datele de autentificare din memorie, folosind citiri din afara limitelor memoriei (out-of-bounds memory reads) pentru a fura token-uri.

Aceste token-uri permit atacatorilor să evite mecanismul MFA și să deturneze sesiunile utilizatorilor, obținând acces neautorizat la sisteme sensibile.

Astfel, este posibil ca atacatorul să își mențină accesul o perioadă mai lungă și să opereze pe mai multe sisteme fără a fi detectat, chiar și după ce utilizatorul a încheiat sesiunea din browser, deoarece token-urile de sesiune sunt utilizate în cadre de autentificare mai largi, cum ar fi apelurile API sau sesiunile persistente ale aplicațiilor.

Citrix Bleed 2 afectează dispozitivele Citrix NetScaler configurate ca Gateway (VPN, ICA Proxy, Clientless VPN, RDP Proxy) sau ca AAA virtual server.

Citrix a emis actualizări pentru a elimina vulnerabilitatea pe 17 iunie, recomandând administratorilor să instaleze noile versiuni cât mai curând posibil și apoi să întrerupă toate sesiunile active ICA și PCoIP.

Dacă aplicarea actualizărilor nu este posibilă în acest moment, există câteva măsuri de reducere a riscurilor, precum restricționarea accesului la rețea prin liste de control al accesului (access control lists – ACL-uri) sau reguli de firewall.

Companiile ar trebui să monitorizeze rețeaua pentru activități anormale, acordând o atenție deosebită conexiunilor externe și activităților care ar putea indica încercări de exploatare.

Un exemplu este reutilizarea sesiunilor Citrix NetScaler și jurnalele serverelor web cu cereri HTTP având lungimi neobișnuite ale șirurilor de caractere.

O exploatare anterioară Citrix Bleed a implicat o cerere HTTP GET cu un antet „Host” ce conținea 24,812 caractere, spun experții ReliaQuest.

Tags

Picture of Mihai Barnea

Mihai Barnea

Tânăr aspirant la statutul de jurnalist, ajuns deocamdată la nivelul de reporter subscris principiului de informare corectă a publicului.
știri conexe
Stay Connected
Like Us On Facebook
Follow Us On Twitter
Subscribe To Our Channel
ultimele știri
Category
Lorem ipsum dolor sit amet, consectetur adipiscing elit eiusmod tempor ncididunt ut labore et dolore magna