Mais de 1.200 appliances Citrix NetScaler ADC e NetScaler Gateway expostos online estão sem correções contra uma vulnerabilidade crítica, acredita-se que sendo ativamente explorada, permitindo que atores de ameaças contornem a autenticação por meio da tomada de sessões de usuários.
Rastreada como
CVE-2025-5777
e referenciada como Citrix Bleed 2, esta vulnerabilidade de leitura de memória fora dos limites ocorre devido a uma validação de entrada insuficiente, possibilitando a atacantes não autenticados acessar regiões restritas de memória.
Uma falha de segurança similar da Citrix, apelidada de "CitrixBleed," foi explorada em ataques de ransomware e invasões visando governos em 2023 para hackear dispositivos NetScaler e mover-se lateralmente através de redes comprometidas.
A exploração bem-sucedida do
CVE-2025-5777
poderia permitir que atores de ameaças roubassem tokens de sessão, credenciais e outros dados sensíveis de gateways públicos e servidores virtuais, possibilitando-os a sequestrar sessões de usuários e contornar a autenticação de múltiplos fatores (MFA).
Em um comunicado do dia 17 de junho, a Citrix alertou os clientes para encerrar todas as sessões ativas ICA e PCoIP após atualizar todos os seus appliances NetScaler para uma versão corrigida para bloquear ataques potenciais.
Na segunda-feira(30), analistas de segurança da fundação sem fins lucrativos de segurança da internet Shadowserver Foundation descobriram no fim de semana que 2.100 appliances ainda estavam vulneráveis aos ataques
CVE-2025-5777
.
Enquanto a Citrix ainda não confirmou que esta falha de segurança está sendo explorada no ambiente online, dizendo que "atualmente, não há evidências que sugerem a exploração do
CVE-2025-5777
," a firma de cibersegurança ReliaQuest relatou na quinta-feira com confiança média que a vulnerabilidade já está sendo abusada em ataques direcionados.
Embora nenhuma exploração pública do
CVE-2025-5777
, apelidado de 'Citrix Bleed 2,' tenha sido relatada, a ReliaQuest avalia com confiança média que os atacantes estão ativamente explorando esta vulnerabilidade para ganhar acesso inicial a ambientes visados," alertou a ReliaQuest.
A ReliaQuest identificou indicadores sugerindo atividade pós-exploração seguindo o acesso não autorizado à Citrix, incluindo uma sessão web Citrix sequestrada indicando uma tentativa bem-sucedida de contornar o MFA, reutilização de sessão em múltiplos endereços IP (incluindo alguns suspeitos), e consultas LDAP ligadas a atividades de reconhecimento do Active Directory.
A Shadowserver também encontrou mais de 2.100 appliances NetScaler sem correções contra outra vulnerabilidade crítica (
CVE-2025-6543
), agora ativamente explorada em ataques de negação de serviço (DoS).
Com ambas as falhas sendo marcadas como vulnerabilidades de gravidade crítica, administradores são aconselhados a implantar os últimos patches da Citrix o quanto antes.
As companhias também devem revisar seus controles de acesso e monitorar appliances Citrix NetScaler para sessões de usuários suspeitas e atividades.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...