Vércsapolás újratöltve: CitrixVércsapolás 2 (CitrixBleed 2)
Mind a CVE-2025-5777, mind a CitrixVércsapolás a NetScaler Application Delivery Controllerben és a NetScaler Gatewayen található, amelyeket vállalati környezetben használnak forgalomelosztásra és egyszeri bejelentkezés kezelésére. A sérülékenység miatt az eszközök az internetről érkező, módosított kérések hatására kis mennyiségű memóriatartalmat szivárogtatnak ki. Ez a szivárgás elegendő ahhoz, hogy egy támadó adminisztrátori jogosultsághoz szükséges session tokeneket szerezzen.
A Citrix néhány hete jelentette be az új hibát, és javítócsomagot is kiadott. Kilenc nappal később azt nyilatkozták, hogy nincs tudomásuk élő támadásokról. Azóta sem frissítették az információkat, miközben kutatók már július 1-jén is aktív támadásokat regisztráltak. Egyes kutatók szerint a naplófájlok alapján már június 23-án megkezdődött a sérülékenység kihasználása, jóval azelőtt, hogy a Citrix figyelmeztetést adott volna ki.
A Citrix hallgatása veszélybe sodorja az ügyfeleket
A biztonsági szakértők kifogásolják, hogy a Citrix semmilyen használható jelzést nem adott ki arra vonatkozóan, hogyan lehet észrevenni, ha egy szervezetet megtámadtak. Ehelyett csak közvetlen kapcsolatfelvétel esetén, egyénileg osztanak meg információt az ügyfelekkel. Indoklásuk szerint ezzel elkerülik, hogy a támadók technikai részletekhez jussanak, a szakértők szerint azonban ezzel inkább a hekkerek dolgát könnyítik meg, mivel a védekezők nem tudják, mit kell keresniük.
A támadók a doAuthentication.do végpontot célozzák, amelyre naponta több ezer bejelentkezési kísérlet érkezik. Ha a rendszergazdák előre tudják, milyen logokat kell átvizsgálniuk (például gyanúsan nagyszámú autentikációs kérés esetén), időben meg tudták volna akadályozni a támadást, vagy azonosíthatták volna a behatolót. Ez azonban elmaradt, és most számos szervezetnél jelentkezhet újabb incidens, alig két évvel a CitrixVércsapolás után.
Pusztán a frissítés nem elég
A kutatók hangsúlyozzák: önmagában a javítócsomag telepítése nem jelent teljes védelmet. Az ügyfeleknek az elemzők által közzétett támadási mintákat, indikátorokat is figyelembe kell venniük ahhoz, hogy felismerjék, ha már megtörtént a kompromittáció. A Citrix ezzel szemben továbbra is csak annyit közöl, hogy elkötelezett az átláthatóság mellett, és minden, az anomáliák azonosításához szükséges információt megoszt a NetScaler termékek felhasználóival az elemzéseikhez.
