O nouă vulnerabilitate critică afectează platformele Citrix NetScaler ADC și NetScaler Gateway, și ar putea fi exploatată pentru a fura cookie-urile pentru sesiunile de autentificare.
Denumită „Citrix Bleed 2” și identificată ca CVE-2025-5777, problema de securitate este de tipul „out-of-bounds read” și are la bază validarea insuficientă a datelor de intrare.
Aceasta permite atacatorilor neautentificați să citească de la distanță conținut sensibil din memoria dispozitivelor afectate, inclusiv token-uri de sesiune, chei criptografice sau alte date confidențiale.
Furtul acestor token-uri poate duce la preluarea sesiunilor active și la evitarea protecției multi-factor (MFA) la autentificare.
Vulnerabilitatea afectează dispozitivele NetScaler configurate ca Gateway (VPN, ICA Proxy, Clientless VPN, RDP Proxy) sau ca AAA virtual server – configurații folosite frecvent de companii pentru accesul de la distanță a dispozitivelor din rețea.
În România, conform motorului de căutare Shodan, sunt cel puțin 27 de instanțe Citrix Gateway și NetScaler expuse pe internetul public, majoritatea fiind în București și aparținând unor companii din sectoarele petrolier, telecomunicații, dezvoltare jocuri, medical, și bancar.
La nivelul Uniunii Europene cele mai multe instanțe sunt in Germania (6,827), Bulgaria (2,250), și Țările de Jos (1,935). În Mare Britanie motorul de căutare arată un număr de 2,197 de instanțe.
Scorul de severitate pentru această vulnerabilitate este 9.3, ceea ce o clasează drept critică.
Deși nu există încă dovezi de exploatare activă, experții avertizează că similitudinile cu Citrix Bleed (CVE-2023-4966) cresc riscul ca atacatorii să profite rapid de această vulnerabilitate, mai ales considerând impactul major pe care l-a avut Citrix Bleed.
Citrix a emis deja actualizări de securitate pentru versiunile de produse afectate. Se recomandă administratorilor să actualizeze imediat dispozitivele la versiunile NetScaler ADC și Gateway 14.1-43.56, 13.1-58.32 sau mai noi.
În plus, este indicată terminarea tuturor sesiunilor active după aplicarea actualizărilor și verificarea activităților suspecte.
