Новая «дыра» в Citrix уже используется в хакерских атаках. Citrix все отрицает
Компания Citrix утверждает об отсутствии зафиксированных атак, однако независимые эксперты категорически не согласны с данной позицией и предоставляют доказательства в виде рабочего эксплойта и индикаторов компрометации.
Вторая итерация
Эксперты по кибербезопасности выявили новую критическую уязвимость в программных компонентах Citrix NetScaler ADC и Gateway и выпустили демонстрационный эксплойт к ней. Хотя вендор утверждает, что признаков активной эксплуатации пока не наблюдается, независимые исследователи говорят, что это не так.
Уязвимость CVE-2025-5777 получила название CitrixBleed 2 в связи со значительным сходством с другой, более ранней уязвимостью - CVE-2023-4966 (CitrixBleed). «Баг» 2023 г. эксплуатировали шифровальщики-вымогатели, а также хакеры, атаковавшие правительственные учреждения.
CitrixBleed 2 позволяет извлекать содержимое памяти устройств посредством простой отправки специально составленных запросов POST в ходе попыток залогиниться.
Исследователи компаний watchTowr и Horizon3 указали в своих публикациях, что для эксплуатации достаточно отправить некорректный запрос на логи с подмененным параметром login= (либо без знака равенства, либо без приданного значения).
В ответ NetScaler выводит содержимое памяти в разделе <InitialValue></InitialValue> - но только до первого нуля.
Причина кроется в использовании функции snprintf вместе с форматнрой строкой, содержащей %. *s.
Как указывается в исследовании watchTowr, %.*s предписывает snprintf вывести определенное количество символов с остановкой на первом нулевом байте. «Этот нулевой байт рано или поздно проявляется в памяти, так что, хотя утечка не продолжается до бессконечности, с каждым вызовом у вы получаете некоторое количество байтов», - отметили исследователи.
По данным экспертов Horizon3, каждый вызов приводит к утечке примерно 127 байтов данных; у хакеров есть возможность направлять множественные HTTP-запросы, пока им не удастся найти значимые данные.

Специалистам Horizon3 удалось провести эксплуатацию уязвимости и выкрасть пользовательские токены сессий:
В публикации Horizon3 говорится также, что помимо конечных точек NetScaler, эксплуатации можно подвергнуть и утилиты настроек, которыми пользуются администраторы.
«Свидетельств не найдено»
Citrix уверяет, что свидетельств эксплуатации уязвимости к настоящему времени не наблюдается, однако еще в июне компания ReliaQuest опубликовала информацию о возможной практической эксплуатации этого «бага»: резко участились случаи перехвата пользовательских сессий.
В свою очередь, эксперт Кевин Бомон (Kevin Beaumont) также оспаривает заявления вендора, отметив, что уязвимость активно эксплуатируется с середины июня, и что злоумышленники используют ее для выгрузки содержимого памяти и перехвата сессий.
Бомон выделил три индикатора компрометации: повторяющиеся запросы POST к *doAuthentication*, запросы doAuthentication.do с указанием "Content-Length: 5", а также строки с *LOGOFF* и обозначением пользователя # (user = "*#*").
Эксперт признал, впрочем, что смог обнаружить признаки эксплуатации только после выхода публикаций watchTowr и Horizon3.

«Citrix также уверял всех, что признаков эксплуатации первого варианта CitrixBleed нет, что на практике оказалось неправдой, дорого обошедшийся клиентам фирмы», - отмечает Александр Зонов, эксперт по информационной безопасности компании SEQ.
По его словам, выводы Кевина Бомона более чем убедительны, а значит, к означенным продуктам Citrix необходимо относиться с «презумпцией виновности» и установить на них обновления при первой же возможности.