Az új Citrix Bleed 2 sebezhetőség: gond van a kapuknál

Sikeres támadások jelei: mi történt?

A ReliaQuest vizsgálata szerint közepes bizonyossággal megállapítható, hogy már most is aktívan kihasználják ezt a sebezhetőséget célzott támadásokban. Az észlelt tevékenységek közé tartozik, hogy a támadók hitelesítés nélkül vettek át Citrix webes munkameneteket – az MFA megkerülésével, ellopott session tokenek segítségével. Ugyanazt a munkamenetet több, akár gyanús IP-címről is használták, és LDAP-lekérdezéseket indítottak, hogy feltérképezzék a céges környezet Active Directoryját, beleértve a felhasználók, csoportok és jogosultságok listáját. Több gépen egyszerre futtatták az ADExplorer64.exe-t, ami a tartomány szintű feltérképezés része, ahogy az is árulkodó jel, hogy a belépések lakossági VPN-szolgáltatók adatközpontjaiból származó IP-címekről történtek (pl. DataCamp), vagyis igyekeztek elrejteni magukat.

Mit lehet tenni? Frissítés vagy védekezés

A Citrix frissítéseket adott ki a sérülékenység befoltozására: legalább a 14.1-43.56+, 13.1-58.32+ vagy 13.1-FIPS/NDcPP 13.1-37.235+ verzióra kell frissíteni. A frissítés után minden aktív ICA és PCoIP munkamenetet ajánlott megszüntetni (kill icaconnection -all, kill pcoipconnection -all), előtte viszont vizsgáld át, volt-e gyanús aktivitás (show icaconnection parancs segítségével). Ha nem lehet azonnal frissíteni, hálózati ACL-ekkel vagy tűzfal szabályokkal zárd le a külső elérést.

Citrix: hivatalosan nincs bizonyíték, de érdemes védekezni

Bár a hivatalos kommunikáció szerint (2025. június végi állapot alapján) nincs egyértelmű bizonyíték a kihasználásra, a gyakorlatban a támadók már elkezdték vizsgálni, sőt alkalmazni ezt a hibát. Egy másik, ezzel rokon Citrix-hiba is napvilágot látott, amely szolgáltatásmegtagadással (DoS – Denial of Service) fenyeget, de ez egy eltérő sebezhetőség ugyanabban a modulban. A fejlemények fényében a gyors beavatkozás most kiemelten fontos.

2025, adrienne, www.bleepingcomputer.com alapján