A Agência de Segurança de Cibersegurança e Infraestrutura dos EUA confirmou a exploração ativa da vulnerabilidade CitrixBleed 2 (
CVE-2025-5777
) nos dispositivos Citrix NetScaler ADC e Gateway, determinando que as agências federais têm um dia para aplicar correções.
Tal prazo curto para a instalação de patches é sem precedentes desde que a CISA lançou o catálogo Known Exploited Vulnerabilities (KEV), demonstrando a gravidade dos ataques que exploram essa falha de segurança.
A agência adicionou a falha ao seu catálogo KEV ontem, ordenando que as agências federais implementem as mitigações até o fim do dia de hoje, 11 de junho.
O
CVE-2025-5777
é uma vulnerabilidade crítica de segurança da memória (leitura de memória fora dos limites) que permite a um atacante não autenticado acessar partes restritas da memória.
O problema afeta dispositivos NetScaler configurados como um Gateway ou um servidor virtual AAA, em versões anteriores a 14.1-43.56, 13.1-58.32, 13.1-37.235-FIPS/NDcPP e 2.1-55.328-FIPS.
A Citrix resolveu a vulnerabilidade por meio de atualizações lançadas em 17 de junho.
Uma semana depois, o pesquisador de segurança Kevin Beaumont alertou em um post de blog sobre o potencial de exploração da falha, sua gravidade e as repercussões se não corrigida.
Beaumont chamou a falha de 'CitrixBleed 2' devido a semelhanças com a notória vulnerabilidade CitrixBleed (
CVE-2023-4966
), que foi amplamente explorada no mundo cibernético por todos os tipos de atores maliciosos.
O primeiro aviso de que CitrixBleed 2 estava sendo explorado veio da ReliaQuest em 27 de junho.
Em 7 de julho, pesquisadores de segurança na watchTowr e Horizon3 publicaram provas de conceito (PoCs) para o
CVE-2025-5777
, demonstrando como a falha pode ser aproveitada em ataques que roubam tokens de sessão de usuários.
Na época, sinais de exploração ativa definitiva no mundo real permaneciam elusivos, mas com a disponibilidade de PoCs e facilidade de exploração, era apenas uma questão de tempo até que os atacantes começassem a utilizá-la em maior escala.
Nas últimas duas semanas, porém, atores de ameaças têm estado ativos em fóruns de hackers discutindo, trabalhando, testando e compartilhando publicamente feedback sobre PoCs para a vulnerabilidade Citrix Bleed 2.
Eles mostraram interesse em como fazer os exploits disponíveis funcionarem em ataques.
Sua atividade aumentou nos últimos dias e múltiplos exploits para a vulnerabilidade foram publicados.
Com a CISA confirmando que CitrixBleed 2 está sendo ativamente usada em ataques, é provável que atores de ameaças agora tenham desenvolvido seus próprios exploits baseados nas informações técnicas divulgadas na última semana.
"Aplique as mitigações conforme as instruções do fornecedor, siga a orientação aplicável do BOD 22-01 para serviços em nuvem, ou descontinue o uso do produto se as mitigações não estiverem disponíveis," adverte a CISA.
Para mitigar o problema, é altamente recomendado que os usuários atualizem para as versões de firmware 14.1-43.56+, 13.1- 58.32+, ou 13.1-FIPS/NDcPP 13.1- 37.235+.
Após atualizar, os administradores devem desconectar todas as sessões ICA e PCoIP ativas, pois podem já ter sido comprometidas.
Antes disso, eles devem revisar as sessões atuais para comportamento suspeito usando o comando 'show icaconnection' ou via NetScaler Gateway > PCoIP > Conexões.
Então, terminar as sessões usando os seguintes comandos:
kill icaconnection -all
kill pcoipconnection -all
Se atualizar imediatamente não for possível, limite o acesso externo ao NetScaler usando regras de firewall ou ACLs.
Embora a CISA confirme a exploração, é importante notar que a Citrix ainda tem que atualizar seu boletim de segurança original de 27 de junho, que afirma que não há evidências de que o
CVE-2025-5777
tenha sido explorado no mundo real.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...