Exploração Ativa do Citrix Bleed 2

30 de Junho de 2025

Uma vulnerabilidade crítica nos dispositivos NetScaler ADC e Gateway, apelidada de "Citrix Bleed 2" ( CVE-2025-5777 ), agora provavelmente está sendo explorada em ataques, de acordo com a empresa de cibersegurança ReliaQuest, que observou um aumento em sessões suspeitas em dispositivos Citrix.

Citrix Bleed 2, nomeado pelo pesquisador de cibersegurança Kevin Beaumont devido à sua semelhança com o Citrix Bleed original ( CVE-2023-4966 ), é uma vulnerabilidade de leitura de memória fora dos limites que permite a atacantes não autenticados acessarem partes da memória que normalmente deveriam ser inacessíveis.

Isso poderia permitir aos atacantes roubar tokens de sessão, credenciais e outros dados sensíveis de gateways expostos ao público e servidores virtuais, possibilitando o sequestro de sessões de usuários e a burla da autenticação multifator (MFA).

O aviso da Citrix também confirma esse risco, alertando os usuários para encerrar todas as sessões ICA e PCoIP após instalar as atualizações de segurança para bloquear o acesso a quaisquer sessões sequestradas.

A falha, monitorada como CVE-2025-5777 , foi corrigida pela Citrix em 17 de junho de 2025, sem relatos de exploração ativa.

No entanto, Beaumont alertou sobre a alta probabilidade de exploração no início desta semana.

As preocupações do pesquisador agora parecem justificadas, já que a ReliaQuest afirma com confiança média que o CVE-2025-5777 já está sendo utilizado em ataques direcionados.

“Embora não tenha sido relatada nenhuma exploração pública do CVE-2025-5777 , conhecido como 'Citrix Bleed 2', a ReliaQuest avalia com confiança média que os atacantes estão ativamente explorando essa vulnerabilidade para obter acesso inicial a ambientes direcionados,” alerta a ReliaQuest.

Essa conclusão é baseada nas seguintes observações de ataques reais vistos recentemente:

- Sessões web do Citrix foram sequestradas onde a autenticação foi concedida sem interação do usuário, indicando que os atacantes burlaram o MFA usando tokens de sessão roubados.

- Atacantes reutilizaram a mesma sessão do Citrix em ambos os endereços IP legítimos e suspeitos, sugerindo sequestro de sessão e replay de fontes não autorizadas.
- Consultas LDAP foram iniciadas após o acesso, mostrando que os atacantes realizaram reconhecimento do Active Directory para mapear usuários, grupos e permissões.
- Múltiplas instâncias do ADExplorer64.exe foram executadas nos sistemas, indicando reconhecimento de domínio coordenado e tentativas de conexão a diversos controladores de domínio.
- Sessões do Citrix originaram de IPs de data centers associados a provedores de VPN para consumidores como DataCamp, sugerindo obfuscação do atacante via infraestrutura anonimizada.

O acima é consistente com atividade de pós-exploração seguindo o acesso não autorizado ao Citrix, reforçando a avaliação de que o CVE-2025-5777 está sendo explorado ativamente.

Para se proteger contra essa atividade, os usuários potencialmente impactados devem atualizar para as versões 14.1-43.56+, 13.1-58.32+, ou 13.1-FIPS/NDcPP 13.1-37.235+ para remediar a vulnerabilidade.

Após instalar o firmware mais recente, os administradores devem encerrar todas as sessões ICA e PCoIP ativas, pois elas podem já ter sido sequestradas.

Antes de encerrar as sessões ativas, os administradores devem primeiramente revisá-las em busca de atividades suspeitas usando o comando show icaconnection e NetScaler Gateway > PCoIP > Connections.

Após revisar as sessões ativas, os administradores podem então encerrá-las usando esses comandos:

Se a instalação imediata de atualizações de segurança for impossível, recomenda-se que o acesso externo ao NetScaler seja limitado via ACLs de rede ou regras de firewall.

Em resposta às nossas perguntas sobre se o CVE-2025-5777 está sendo ativamente explorado, a Citrix nos remeteu de volta a uma postagem de blog publicada ontem, onde afirmam que não veem sinais de exploração.

"Atualmente, não há evidências que sugiram a exploração do CVE-2025-5777 ," lê-se na postagem da Citrix.

No entanto, outra vulnerabilidade da Citrix, monitorada como CVE-2025-6543 , está sendo explorada em ataques para causar uma condição de negação de serviço nos dispositivos NetScaler.

A Citrix diz que essa falha e a falha CVE-2025-5777 estão no mesmo módulo, mas são bugs diferentes.

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...