Az új CitrixBleed2 hibán keresztül ömlenek ki a céges adatok

A Citrix NetScaler rendszerekben most felfedezett CitrixBleed2 nevű biztonsági rés (CVE-2025-5777) lehetővé teszi a támadók számára, hogy akár egyszerű támadásokkal felhasználói munkamenet-tokeneket szerezzenek meg – azaz hozzáférést kapjanak aktív céges fiókokhoz. Az érintett eszközök közé tartozik a Citrix NetScaler ADC és a Gateway, amelyeket világszerte számtalan vállalat használ.

Hogyan működik a támadás?

A hiba lényege, hogy a támadó egy szándékosan hibás POST kérést küld a bejelentkezéskor, amelyben a login paraméterhez nem rendel értéket, csak magát a kulcsot adja meg – például login helyett login=. Ennek hatására a NetScaler memóriatartalmat jelenít meg a válaszban az szakaszban, egészen az első előforduló null-karakterig. A rés kihasználásának hátterében az snprintf függvény helytelen használata áll: a %.*s formázási utasítás annyi karaktert ír ki, amennyi egy adott határig, vagy az első null-pozícióig található a memóriában. Minden hibás lekérdezéssel újabb, eddig nem inicializált adat kerül elő – egyszerre körülbelül 127 bájt –, amit a támadó ismételt HTTP kérésekkel tovább bővíthet, akár érzékeny információkig jutva.

A tét: felhasználói fiókok, admin-hozzáférések

A hibát elsőként a WatchTowr és a Horizon3 kutatói elemezték; utóbbi egy bemutató videóban igazolta, hogy a módszerrel sikeresen megszerezhetők felhasználói session-tokenek. Nemcsak a végfelhasználói kapcsolatok, hanem az adminisztrátori konfigurációs felület is érintett. Ez azt jelenti, hogy a támadók akár teljes adminisztrátori jogosultságot is szerezhetnek hasonló trükkökkel.

Súlyos következmények a cégek számára

A Citrix hivatalosan tagadja, hogy már folynának aktív támadások, ám egy kiberbiztonsági cég júniusi jelentésében már több gyanús munkamenet-eltérítést is felderítettek, sőt, egy szakértő június közepe óta aktív kiaknázást azonosított. Jellemző jelek: a NetScaler logokban ismétlődő POST kérések a doAuthentication végpontra, mindegyiknél körülbelül 127 bájt RAM kerül kiszivárogtatásra. Gyakori továbbá, hogy a LOGOFF eseményeknél szokatlan felhasználónevek, például a # karakter jelennek meg.

A Citrix már kiadta a szükséges biztonsági javítást. Az azonnali frissítés erősen ajánlott! Emellett érdemes minden aktív felhasználói munkamenetet áttekinteni, gyanús tevékenységeket keresve – mielőtt minden sessiont egyből megszakítanánk.

Lezárás

A CitrixBleed2 tipikus példája annak, hogy bár a felhős támadások egyre kifinomultabbak, a legsúlyosabb kompromittálódásokhoz ma is szinte gyermeteg hibák is elegendőek. A biztonság továbbra is az alapoktól kezdődik: folyamatos frissítés, logelemzés és tudatosság nélkül nem lehet a támadók előtt járni.

2025, adrienne, www.bleepingcomputer.com alapján