A Citrix újabb hibája: a CitrixBleed 2 sokakat veszélyeztet
Az elmúlt napokban két súlyos biztonsági hibát tártak fel a Citrix NetScaler ADC és Gateway készülékekben, amelyeket nyilvános vagy vállalati VPN szervereken keresztül lehet kihasználni. Az egyik, CVE-2025-5777 kódjelű sérülékenységet már CitrixBleed 2 néven emlegetik, utalva a korábbi, hasonlóan veszélyes CitrixBleed (CitrixBleed) esetre. Ezek a hibák lehetővé teszik a támadók számára, hogy jogosulatlanul megszerezzék a memóriában tárolt érzékeny adatokat: felhasználói tokeneket, hitelesítési adatokat, sőt, lehetőségük nyílik meglévő felhasználói munkamenetek eltérítésére is – akár a többfaktoros azonosítás megkerülésével.
Kik a veszélyeztetettek?
A hibák minden olyan NetScaler eszközt érintenek, amely VPN Gatewayként vagy AAA virtuális szerverként működik, valamint a régebbi, 14.1-43.56 és 13.1-58.32 előtti verziókat, továbbá a 13.1-37.235-FIPS/NDcPP és 12.1-55.328-FIPS kiadásokat is. A második, nagy kockázatú, CVE-2025-5349-es hibát a NetScaler kezelőfelületének jogosulatlan elérése okozza, amelyet akkor tudnak kihasználni, ha hozzáférnek a menedzsmenthez szükséges IP-címhez.
Mit tegyen most minden érintett?
Az azonnali javaslat: mindenki frissítsen legalább 14.1-43.56, 13.1-58.32 vagy újabb verzióra, és a frissítés után az adminisztrátorok vizsgálják át a futó ICA és PCoIP munkameneteket gyanús tevékenység után kutatva, majd minden aktív kapcsolatot azonnal szakítsanak meg a “kill icaconnection -all” és “kill pcoipconnection -all” parancsokkal. Ha ez elmarad, a korábban megszerzett munkamenetek továbbra is biztonsági kockázatot jelentenek.
A már nem támogatott NetScaler ADC/Gateway 12.1 (nem FIPS) és 13.0 verziókhoz nem érhető el javítás, ezért ezek felhasználói csak frissítéssel védhetik meg magukat. Jelenleg több mint 56 500 Citrix NetScaler eszköz érhető el nyilvánosan az interneten, ismeretlen, hányan működnek a veszélyeztetett verziókkal – így a gondatlanság hamarosan komoly károkat okozhat.
Ma már könnyű észrevétlenül belezuhanni a végtelen görgetés csapdájába: egy gyors üzenetellenőrzés vagy néhány percnyi szünet a munkahelyen pillanatok alatt órává nyúlhat...
A Google Pixel telefonok régóta rendelkeznek egyes, csak erre a szériára jellemző funkciókkal, de akad közöttük olyan is, amely még a rajongók széles táborában is ismeretlen maradt...
💸 Megemlíthető, hogy a kriptopiac most igencsak izgalmas időszakát éli. Az amerikai spot bitcoin ETF-ek pénteken 244 milliárd forintnyi (663 millió USD) friss tőkét szívtak fel, ami január közepe óta a legmagasabb napi érték...
🧠 Két évszázad után először sikerült a tudósoknak laboratóriumi körülmények között dolomitot növeszteniük, átfogó választ adva a geológia egyik legrégebbi rejtélyére...
Fontos kérdés, miként okozhat ekkora károkat egyetlen rossz biztonsági döntés. Egy 106 milliárd forint (290 millió USD) értékű támadás rázta meg a decentralizált pénzügyi szektort, amikor a Kelp DAO jóvátehetetlen károkat szenvedett – és mindez nem protokollhibán, hanem a rosszul beállított védelem miatt történt...
💡 Az elmúlt néhány évben óriásit ugrott a vörösfény-terápiás eszközök piaca: 2024-ben 158 milliárd forintot tett ki, 2025-re várhatóan 167 milliárd lesz, és 2032-re elérheti a 248 milliárdot is...
🚀 Senki sem várta volna, hogy a Blue Origin első kereskedelmi küldetése ilyen felemásan alakul: miközben a New Glenn rakéta újrahasznosított első fokozata tökéletesen leszállt a visszatérő hajóra, a fő feladat – a kommunikációs műhold pályára állítása – kudarcba fulladt...
Érdekes felvetés, hogy a jövőben akár kamerával felszerelt fülhallgatókat is viselhetünk, ám a legújabb kutatások szerint a technológia közel sem áll még készen ennek megvalósítására...
🔒 Az Európai Unió nemrég bemutatta saját online életkor‑ellenőrző mobilalkalmazását, amellyel a tervek szerint a gyermekeket akarják védeni a közösségi médiától és a felnőtt tartalmaktól...
Jellemző példa, hogy a bélmozgás sebessége – vagyis az, hogy a szervezetünk milyen gyorsan szabadul meg a salakanyagoktól – jóval többet elárulhat az egészségünkről, mint gondolnánk...
A Zoom mostantól egészen új szintre emeli a biztonságot: partnerséget kötött Sam Altman íriszszkennelésre épülő startupjával (korábban Worldcoin néven futott), aminek köszönhetően élőben is ellenőrizhető lesz, hogy valódi ember ül-e a cégtalálkozón, vagy valami sunyi AI-avatár próbál belépni...
📷 A Samsung jelentős frissítést adott ki a Galaxy Enhance-X alkalmazáshoz, amely teljesen új külsőt és rengeteg friss szerkesztési funkciót hozott magával...
😱 A Claude Desktop telepítésekor az Anthropic engedély nélkül rejt el egy natív kémprogram-hidat a gépeden, amely minden Chromium-alapú böngészőt érinthet...
David Gross, a világhírű Nobel-díjas fizikus szerint az emberiség túlélése drámaian bizonytalanná vált: jó eséllyel már csak néhány évtized van hátra civilizációnk számára...
A Nemzeti Szabványügyi és Technológiai Intézet úgy döntött, felhagy az alacsonyabb prioritású sérülékenységek súlyossági pontszámainak megállapításával...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Monthly Dystopia (iPhone/iPad)A Monthly Dystopia egy túlélő játék, amelyet George Orwell 1984 című műve inspirált...
