Badan Keamanan Cybersecurity & Infrastruktur AS telah mengkonfirmasi eksploitasi aktif dari kerentanan Citrixbleed 2 (CVE-2025-5777) di Citrix Netscaler ADC dan Gateway dan memberi agensi federal suatu hari untuk menerapkan perbaikan.
Batas waktu yang singkat untuk memasang tambalan belum pernah terjadi sebelumnya karena CISA merilis katalog kerentanan yang diketahui (KEV) yang diketahui, menunjukkan keparahan serangan yang mengeksploitasi masalah keamanan.
Agensi Menambahkan cacat ke katalog kerentanan yang diketahui dieksploitasi (KEV) kemarin, memerintahkan lembaga federal untuk menerapkan mitigasi pada akhir hari ini, 11 Juni.
CVE-2025-5777 adalah kerentanan keamanan memori yang kritis (di luar batas memori membaca) yang memberikan akses penyerang yang tidak otomatis ke bagian-bagian memori yang terbatas.
Masalah ini berdampak pada perangkat NetScaler yang dikonfigurasi sebagai gateway atau server virtual AAA, dalam versi sebelum 14.1-43.56, 13.1-58.32, 13.1-37.235-FIPS/NDCPP, dan 2.1-55.328-FIPS.
Citrix membahas kerentanan melalui Pembaruan dirilis pada 17 Juni.
Seminggu kemudian, peneliti keamanan Kevin Beaumont memperingatkan dalam sebuah posting blog tentang potensi cacat untuk eksploitasi, tingkat keparahan dan dampaknya jika dibiarkan tidak tertandingi.
Beaumont memanggil cacat ‘Citrixbleed 2 ‘ Karena kesamaan dengan kerentanan citrixble yang terkenal (CVE-2023-4966), yang secara luas dieksploitasi di alam liar oleh semua jenis aktor penjahat dunia maya.
Peringatan pertama dari Citrixbleed 2 sedang dieksploitasi datang dari Reliaquest Pada tanggal 27 Juni. Pada 7 Juli, peneliti keamanan di Watchtowr dan Horizon3 Eksploitasi bukti-konsep yang diterbitkan (POC) untuk CVE-2025-5777, menunjukkan bagaimana cacat dapat dimanfaatkan dalam serangan yang mencuri token sesi pengguna.
Pada saat itu, tanda -tanda eksploitasi aktif definitif di alam liar tetap sulit dipahami, tetapi dengan ketersediaan POC dan kemudahan eksploitasi, itu hanya masalah waktu sampai penyerang mulai memanfaatkannya pada skala yang lebih besar.
Namun, selama dua minggu terakhir, para aktor ancaman telah aktif di forum peretas yang membahas, bekerja, menguji, dan berbagi umpan balik pada POC untuk kerentanan Citrix Bleed 2.
Mereka menunjukkan minat pada cara membuat eksploitasi yang tersedia bekerja dalam serangan. Aktivitas mereka meningkat beberapa hari terakhir dan beberapa eksploitasi untuk kerentanan telah diterbitkan.
Dengan CISA yang mengkonfirmasi Citrixbleed 2 yang secara aktif digunakan dalam serangan, kemungkinan para aktor ancaman sekarang telah mengembangkan eksploitasi mereka sendiri berdasarkan info teknis yang dirilis minggu lalu.
“Terapkan mitigasi per instruksi vendor, ikuti panduan BOD 22-01 yang berlaku untuk layanan cloud, atau menghentikan penggunaan produk jika mitigasi tidak tersedia,” Perang CIAS.
Untuk mengurangi masalah ini, pengguna sangat disarankan untuk meningkatkan ke versi firmware 14.1-43.56+, 13.1- 58.32+, atau 13.1-FIPS/NDCPP 13.1- 37.235+.
Setelah memperbarui, admin harus memutuskan semua sesi ICA dan PCOIP aktif, karena mereka mungkin sudah dikompromikan.
Sebelum melakukannya, mereka harus meninjau sesi saat ini untuk perilaku mencurigakan menggunakan 'show icaconnection' Perintah atau melalui Netscaler Gateway> PCOIP> Koneksi.
Kemudian, akhiri sesi menggunakan perintah berikut:
kill icaconnection -allkill pcoipconnection -all
Jika memperbarui segera tidak mungkin, batasi akses eksternal ke NetScaler menggunakan aturan firewall atau ACL.
Meskipun CISA mengkonfirmasi eksploitasi, penting untuk dicatat bahwa Citrix masih harus memperbarui Buletin Keamanan Asli Dari 27 Juni, yang menyatakan bahwa tidak ada bukti CVE-2025-5777 dieksploitasi di alam liar.
BleepingComputer menghubungi Citrix untuk menanyakan apakah ada pembaruan tentang status eksploitasi Citrixbleed 2, dan kami akan memperbarui posting ini setelah pernyataan tersedia.
8 Ancaman Umum pada tahun 2025
Sementara serangan awan mungkin tumbuh lebih canggih, penyerang masih berhasil dengan teknik yang sangat sederhana.
Menggambar dari deteksi Wiz di ribuan organisasi, laporan ini mengungkapkan 8 teknik utama yang digunakan oleh aktor ancaman fluen cloud.
