Citrix beweerde dat Citrix Bleed 2 niet actief werd uitgebuit, wat uiteindelijk wel gebeurd is.
Onderzoekers hebben proof-of-concept (PoC)-exploits gepubliceerd voor een kritieke kwetsbaarheid in Citrix NetScaler, die bekendstaat als CVE-2025-5777 en Citrix Bleed 2 wordt genoemd. De fout zou eenvoudig te misbruiken zijn.
Uitgebuit of niet?
Citrix Bleed 2 stelt aanvallers in staat om via POST-aanvragen de inhoud van het geheugen van NetScaler-apparaten op te vragen. Volgens een bron van Bleeping Computer lekt er bij elk verzoek ongeveer 127 bytes aan gegevens uit data. Zo kunnen aanvallers herhaalde HTTP-verzoeken uitvoeren tot ze uiteindelijk gevoelige gegevens vinden.
Volgens Citrix zelf is de kwetsbaarheid niet actief uitgebuit, maar experts beweren iets anders. Er zouden duidelijke tekenen van aanvallen terug te vinden zijn in de logbestanden. De situatie doet denken aan de eerdere Citrix Bleed-kwetsbaarheid uit 2023. Die werd toen grootschalig misbruikt door ransomwaregroepen en spionagegroepen, vaak omdat systemen niet tijdig gepatcht waren.
Citrix heeft ondertussen beveiligingsupdates uitgerold en raadt gebruikers aan die onmiddellijk toe te passen. Daarnaast kunnen gebruikers best hun bestaande sessies controleren op verdachte activiteit en handmatig beëindigen. Dat laatste kan nooit kwaad met actieve exploits in omloop.