Дата публикации:
Центр мониторинга и реагирования компании UserGate предупреждает о потенциальной уязвимости CVE-2025-5777, обнаруженной на устройствах Citrix NetScaler ADC (ранее Citrix ADC) и NetScaler Gateway (ранее Citrix Gateway). Эксплуатация уязвимости может привести к утечке данных из памяти.
Описание
Уязвимость связана с неправильной обработкой неинициализированной памяти при парсинге некорректных данных, передаваемых в POST-запросах, в частности c параметром `login`. Если поле `login` не включает знак `=` и какое-либо значение, то часть неинициализированной стековой памяти возвращается внутри тега `<InitialValue>` в XML. Подобные повторяющиеся POST-запросы позволяют злоумышленникам собирать конфиденциальные данные из памяти, такие как:
- session tokens (потенциально являющиеся sessions hijacking и обходом MFA);
- данные об аутентификации;
- части предыдущих HTTP-запросов;
- учетные данные в виде открытого текста.
Уязвимость получила название CitrixBleed 2 из-за сильного сходства с печально известной CitrixBleed, которая активно эксплуатировалась в 2023 году. Citrix утверждает, что на данный момент нет прямых доказательств эксплуатации CitrixBleed 2 в реальных условиях, однако многие компании в сфере ИБ скептически относятся к этим заявлениям.
Рейтинг
Уязвимость получила оценку 9,3 (critical) по CVSS 4.0.
Уязвимые версии и продукты
- NetScaler ADC and NetScaler Gateway 14.1 до версии 14.1-43.56;
- NetScaler ADC and NetScaler Gateway 13.1 до версии 13.1-58.32;
- NetScaler ADC 13.1-FIPS до версии 13.1-37.235;
- NetScaler ADC 13.1-NDcPP до версии 13.1-37.235;
- NetScaler ADC 12.1-FIPS до версии 12.1-55.328-FIPS.
Рекомендации
Специалисты центра мониторинга и реагирования на киберугрозы UserGate рекомендуют пользователям выполнить следующие действия:
- Перейти на версии продуктов, в которых исправлены выявленные уязвимости. Согласно Citrix, рекомендация особенно актуальна для пользователей, работающих с уязвимыми версиями NetScaler ADC, настроенными в качестве шлюза (виртуальный сервер VPN, прокси-сервер ICA, CVPN, прокси-сервер RDP) или виртуального сервера AAA.
- Проверить актуальность подписки на модуль Security updates.
- Добавить в блокирующее правило IDPS сигнатуру Citrix NetScaler Memory Disclosure - CitrixBleed 2.
