A Citrix se szólt, a hekkerek már javában támadtak

A Citrix se szólt, a hekkerek már javában támadtak
Komoly, kritikus sérülékenységet fedeztek fel a Citrix hálózati eszközeiben, amely lehetővé teszi a többfaktoros azonosítás megkerülését. Ezt a hibát hónapok óta aktívan kihasználják, miközben a gyártó állítása szerint nem találtak bizonyítékot támadásokra. Az új sérülékenység (CVE-2025-5777), amely hasonlóságot mutat a korábbi, hírhedt CitrixVércsapolás (CitrixBleed, CVE-2023-4966) hibával, már több szervezetet is érintett. Két évvel ezelőtt például a Boeing, az ausztrál DP World logisztikai cég, a Commercial Bank of China és az Allen & Overy ügyvédi iroda is áldozatául esett, sőt, a Comcast hálózatát is feltörték, ahol 36 millió Xfinity-felhasználó jelszava és személyes adata került nyilvánosságra.

Vércsapolás újratöltve: CitrixVércsapolás 2 (CitrixBleed 2)

Mind a CVE-2025-5777, mind a CitrixVércsapolás a NetScaler Application Delivery Controllerben és a NetScaler Gatewayen található, amelyeket vállalati környezetben használnak forgalomelosztásra és egyszeri bejelentkezés kezelésére. A sérülékenység miatt az eszközök az internetről érkező, módosított kérések hatására kis mennyiségű memóriatartalmat szivárogtatnak ki. Ez a szivárgás elegendő ahhoz, hogy egy támadó adminisztrátori jogosultsághoz szükséges session tokeneket szerezzen.

A Citrix néhány hete jelentette be az új hibát, és javítócsomagot is kiadott. Kilenc nappal később azt nyilatkozták, hogy nincs tudomásuk élő támadásokról. Azóta sem frissítették az információkat, miközben kutatók már július 1-jén is aktív támadásokat regisztráltak. Egyes kutatók szerint a naplófájlok alapján már június 23-án megkezdődött a sérülékenység kihasználása, jóval azelőtt, hogy a Citrix figyelmeztetést adott volna ki.

A Citrix hallgatása veszélybe sodorja az ügyfeleket

A biztonsági szakértők kifogásolják, hogy a Citrix semmilyen használható jelzést nem adott ki arra vonatkozóan, hogyan lehet észrevenni, ha egy szervezetet megtámadtak. Ehelyett csak közvetlen kapcsolatfelvétel esetén, egyénileg osztanak meg információt az ügyfelekkel. Indoklásuk szerint ezzel elkerülik, hogy a támadók technikai részletekhez jussanak, a szakértők szerint azonban ezzel inkább a hekkerek dolgát könnyítik meg, mivel a védekezők nem tudják, mit kell keresniük.

A támadók a doAuthentication.do végpontot célozzák, amelyre naponta több ezer bejelentkezési kísérlet érkezik. Ha a rendszergazdák előre tudják, milyen logokat kell átvizsgálniuk (például gyanúsan nagyszámú autentikációs kérés esetén), időben meg tudták volna akadályozni a támadást, vagy azonosíthatták volna a behatolót. Ez azonban elmaradt, és most számos szervezetnél jelentkezhet újabb incidens, alig két évvel a CitrixVércsapolás után.

Pusztán a frissítés nem elég

A kutatók hangsúlyozzák: önmagában a javítócsomag telepítése nem jelent teljes védelmet. Az ügyfeleknek az elemzők által közzétett támadási mintákat, indikátorokat is figyelembe kell venniük ahhoz, hogy felismerjék, ha már megtörtént a kompromittáció. A Citrix ezzel szemben továbbra is csak annyit közöl, hogy elkötelezett az átláthatóság mellett, és minden, az anomáliák azonosításához szükséges információt megoszt a NetScaler termékek felhasználóival az elemzéseikhez.

2025, adminboss, arstechnica.com alapján

  • Te szerinted helyes volt, hogy a Citrix nem közölt részletesebb információkat?
  • Te mit tettél volna, ha te lennél a Citrix helyében ilyen sérülékenység esetén?
  • Te hogyan tájékoztatnád a felhasználókat hasonló veszély esetén?




Legfrissebb posztok


Címlapon

Az MI-s Korlátlan Reklámgépezet: Így Etet Minket a Meta
Az eltűnt La Niña nyomában
Az életmentéstől a pizzáig: a Zipline drónok lenyűgöző útja
A csontgyűjtő hernyó: rémálmaid kannibál kis vadja
Az önvezető autók új szabályozási rendszere: káoszgyorsító vagy csodafegyver?