CitrixBleed 2: Még veszélyesebb lehet
A friss sebezhetőség (CVE-2025-5777) 9,3-as súlyossági pontszámot kapott, és minden olyan NetScaler ADC vagy NetScaler Gateway eszközt érint, amelyeken az alábbi verziók előtti szoftver fut: 14.1-43.56, 13.1-58.32, 13.1-FIPS/NDcPP 13.1-37.235, illetve 12.1-FIPS 12.1-55.328. Az ennél régebbi, már támogatáson kívüli 12.1 és 13.0 verziók szintén sérülékenyek; biztonságukat csak frissítés oldhatja meg.
A sebezhetőség lehetővé teszi a távoli, autentikáció nélküli támadásokat: a támadók érzékeny adatokat – például session tokeneket – olvashatnak ki a memóriából, így képesek a felhasználók nevében belépni és akár a kétfaktoros hitelesítést is megkerülni. Ez a konfiguráció egyébként tipikus a nagyvállalati VPN-ek, RDP proxyk és privát hozzáférési szerverek körében.
Frissítés és gyors intézkedés szükséges
A Citrix azt ajánlja, hogy minden érintett telepítésnél a legújabb buildre frissíts. A szoftverek frissítése után futtasd le a következő parancsokat HA-párokon és cluster node-okon:
kill icaconnection -all
kill pcoipConnection -all
Ezek bezárják az összes aktív ICA és PCoIP sessiont, ami fontosabb, mint a szerver újraindítása. A gyártó külön hangsúlyozza, hogy az új parancsok alkalmazása a folyamatban lévő támadásokat is megelőzi.
Rossz emlék: a CitrixBleed következményei
A CitrixBleed sebezhetőség korábban is óriási károkat okozott. Legalább két zsarolóvírus-banda jutott hozzá érzékeny adatokhoz, köztük egy seattle-i egészségügyi intézmény adataihoz is, amely nemrég 18,7 milliárd forintot (52,5 millió USD) fizetett egy csoportos peres megállapodásban, miután betegeket közvetlenül is fenyegettek.
Most úgy tűnik, hogy a CitrixBleed 2 minden eddiginél komolyabb lehallgatási potenciált rejt. A sebezhetőség már nem csak a kezelőfelületre (Management Interface) korlátozódik, a támadási lehetőségek köre bővült. A szakértők szerint szinte elkerülhetetlen a tömeges kihasználás, ezért mindenkinek azonnali javítás ajánlott, mielőtt ezt a rést valaki kihasználná.
