Uma vulnerabilidade crítica no Citrix NetScaler, registrada como
CVE-2025-5777
e apelidada de "CitrixBleed 2", foi ativamente explorada quase duas semanas antes que os exploits de prova de conceito (PoC) fossem tornados públicos, apesar da Citrix afirmar que não havia evidências de ataques.
A GreyNoise confirmou que seus honeypots detectaram a exploração direcionada a partir de endereços IP localizados na China em 23 de junho de 2025.
"A GreyNoise observou tentativas ativas de exploração contra o
CVE-2025-5777
(CitrixBleed 2), uma vulnerabilidade de sobreleitura de memória no Citrix NetScaler.
A exploração começou em 23 de junho — quase duas semanas antes de um PoC público ser lançado em 4 de julho," explica a GreyNoise.
"Criamos uma tag em 7 de julho para rastrear essa atividade.
Como a GreyNoise associa retroativamente tráfegos anteriores à tag com novas tags, agora é possível visualizar tentativas de exploração anteriores no Visualizador da GreyNoise."
A GreyNoise confirmou à U.S.Cybersecurity and Infrastructure Security Agency (CISA) em 9 de julho que a falha estava sendo ativamente explorada, levando a agência de cibersegurança a adicionar isso ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) e dando às agências federais um dia para corrigir a falha.
Apesar desses sinais iniciais e dos alertas repetidos do pesquisador de segurança Kevin Beaumont, a Citrix ainda não havia reconhecido a exploração ativa em seu aviso de segurança para o
CVE-2025-5777
.
A empresa apenas atualizou discretamente sua postagem de blog de 26 de junho em 11 de julho, depois que apareceu na base de dados KEV no dia anterior.
A Citrix finalmente publicou outro post no blog em 15 de julho sobre como avaliar os logs do NetScaler para indicadores de comprometimento.
No entanto, mesmo com isso, a empresa foi criticada por não ser transparente e por não compartilhar os IOCs que pesquisadores disseram que foram previamente compartilhados com a empresa.
A Citrix também não respondeu às perguntas do site BleepingComputer sobre por que o aviso original do
CVE-2025-5777
ainda não reconhece a exploração.
O Citrix Bleed 2 é uma vulnerabilidade crítica de severidade 9.3 causada por validação insuficiente de entrada, que permite que atacantes enviem solicitações POST malformadas para os dispositivos NetScaler durante tentativas de login.
Isso é explorado omitindo o sinal de igual no parâmetro "login=", fazendo com que o dispositivo vaze 127 bytes de memória.
Pesquisadores da Horizon3 e WatchTowr demonstraram que solicitações repetidas podem ser usadas para expor dados sensíveis como tokens de sessão válidos.
Estes tokens podem então ser usados para sequestrar sessões Citrix e ganhar acesso não autorizado a recursos internos.
O pesquisador de segurança Kevin Beaumont já afirmou que solicitações POST repetidas para /doAuthentication.do nos logs do NetScaler são uma boa indicação de que alguém está tentando explorar a falha, especialmente quando a solicitação inclui um cabeçalho Content-Length: 5.
Outras indicações incluem entradas de log mostrando logoffs de usuários onde o nome de usuário consiste em caracteres incomuns, como "#", ou conteúdos de memória impressos em campos incorretos.
Beaumont também alertou que as orientações da Citrix não são suficientes para limpar completamente as sessões comprometidas.
Enquanto a Citrix recomenda terminar sessões ICA e PCoIP usando kill icaconnection -all e kill pcoipConnection -all, Beaumont aconselha também a terminar outros tipos de sessão que podem ter sequestrado sessões:
Os administradores também devem revisar todas as sessões antes de terminá-las para verificar logins suspeitos, como mudanças inesperadas de endereços IP ou usuários não autorizados.
O post de blog da Citrix de 15 de julho compartilha mais orientações sobre como identificar sinais de exploração, como entradas de log mostrando as seguintes mensagens:
"Authentication is rejected for"
"AAA Message"
Valores de byte não-ASCII (0x80–0xFF)
Os logs de sessão também podem ser inspecionados manualmente para mudanças incomuns de endereço IP associadas à mesma sessão.
Por exemplo, nos logs de VPN, uma discrepância entre o client_ip e o endereço IP de origem pode indicar que uma sessão foi sequestrada.
Em um post recente, Beaumont afirma que está rastreando a exploração desde junho, com mais de 120 empresas já comprometidas pela falha.
"O acesso começou em 20 de junho de 2025, com o acesso aumentando de 21 de junho a esta data de escrita," alerta Beaumont.
"Eu acho que a atividade que vejo pode ser de um grupo de atores de ameaças — pode haver mais.
Eles são cuidadosos na seleção de vítimas, perfilando o Netscaler antes de atacar para garantir que é uma caixa real — por exemplo, eles não caíram em nenhum dos meus honeypots."
O pesquisador também adverte que o próprio Web Application Firewall da Citrix atualmente não detecta a exploração do
CVE-2025-5777
.
No entanto, a Imperva relata que seu produto detectou mais de 11,5 milhões de tentativas de explorar essa falha, com 40% visando o setor financeiro.
A Citrix lançou patches para as versões do NetScaler ADC e Gateway e está instando fortemente a realização de upgrades imediatos.
Não há mitigações além de aplicar patches, e os clientes que operam versões EOL (12.1 e 13.0) devem atualizar para builds suportadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...