Sikeres támadások jelei: mi történt?
A ReliaQuest vizsgálata szerint közepes bizonyossággal megállapítható, hogy már most is aktívan kihasználják ezt a sebezhetőséget célzott támadásokban. Az észlelt tevékenységek közé tartozik, hogy a támadók hitelesítés nélkül vettek át Citrix webes munkameneteket – az MFA megkerülésével, ellopott session tokenek segítségével. Ugyanazt a munkamenetet több, akár gyanús IP-címről is használták, és LDAP-lekérdezéseket indítottak, hogy feltérképezzék a céges környezet Active Directoryját, beleértve a felhasználók, csoportok és jogosultságok listáját. Több gépen egyszerre futtatták az ADExplorer64.exe-t, ami a tartomány szintű feltérképezés része, ahogy az is árulkodó jel, hogy a belépések lakossági VPN-szolgáltatók adatközpontjaiból származó IP-címekről történtek (pl. DataCamp), vagyis igyekeztek elrejteni magukat.
Mit lehet tenni? Frissítés vagy védekezés
A Citrix frissítéseket adott ki a sérülékenység befoltozására: legalább a 14.1-43.56+, 13.1-58.32+ vagy 13.1-FIPS/NDcPP 13.1-37.235+ verzióra kell frissíteni. A frissítés után minden aktív ICA és PCoIP munkamenetet ajánlott megszüntetni (kill icaconnection -all, kill pcoipconnection -all), előtte viszont vizsgáld át, volt-e gyanús aktivitás (show icaconnection parancs segítségével). Ha nem lehet azonnal frissíteni, hálózati ACL-ekkel vagy tűzfal szabályokkal zárd le a külső elérést.
Citrix: hivatalosan nincs bizonyíték, de érdemes védekezni
Bár a hivatalos kommunikáció szerint (2025. június végi állapot alapján) nincs egyértelmű bizonyíték a kihasználásra, a gyakorlatban a támadók már elkezdték vizsgálni, sőt alkalmazni ezt a hibát. Egy másik, ezzel rokon Citrix-hiba is napvilágot látott, amely szolgáltatásmegtagadással (DoS – Denial of Service) fenyeget, de ez egy eltérő sebezhetőség ugyanabban a modulban. A fejlemények fényében a gyors beavatkozás most kiemelten fontos.
