De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft donderdag een kritische beveiligingsfout toegevoegd die van invloed is op Citrix NetScaler ADC en de toegangspoort tot de bekende uitgebuite catalogus van de Vulnerabilities (KEV), die officieel bevestigt dat de kwetsbaarheid in het wild is bewapend.
De tekortkoming in kwestie is CVE-2025-5777 (CVSS-score: 9.3), een exemplaar van onvoldoende invoervalidatie die door een aanvaller kan worden benut om authenticatie te omzeilen wanneer het apparaat wordt geconfigureerd als een gateway of AAA virtuele server. Het wordt ook genoemd Citrix Bleed 2 Vanwege zijn overeenkomsten met Citrix Bleed (CVE-2023-4966).
“Citrix NetScaler ADC en Gateway bevatten een buitengebonden leest kwetsbaarheid vanwege onvoldoende invoervalidatie,” zei het bureau. “Deze kwetsbaarheid kan leiden tot geheugenoverzicht wanneer de NetScaler is geconfigureerd als een gateway (VPN Virtual Server, ICA Proxy, CVPN, RDP Proxy) of AAA Virtual Server.”
Hoewel sindsdien meerdere beveiligingsleveranciers hebben gemeld dat de fout is benut in real-world aanvallen, moet Citrix zijn eigen adviezen nog bijwerken om dit aspect weer te geven. Vanaf 26 juni 2025 zei Anil Shetty, senior vice president engineering bij NetScaler,: “Er is geen aanwijzingen om exploitatie van CVE-2025-5777 te suggereren.”
Beveiligingsonderzoeker Kevin Beaumont zei echter in een rapport dat deze week is gepubliceerd, dat de Citrix Bleed 2-exploitatie al medio juni begon, het toevoegen van een van de IP-adressen die de aanvallen uitvoeren is eerder gekoppeld aan Ransomhub-ransomware-activiteit.
Uit gegevens van Greynoise blijkt dat exploitatie -inspanningen afkomstig zijn van 10 unieke kwaadaardige IP -adressen in Bulgarije, de Verenigde Staten, China, Egypte en Finland in de afgelopen 30 dagen. De primaire doelen van deze inspanningen zijn de Verenigde Staten, Frankrijk, Duitsland, India en Italië.
De toevoeging van CVE-2025-5777 aan de KEV-catalogus komt als een andere fout in hetzelfde product (CVE-2025-6543, CVSS-score: 9.2) is ook onder actieve uitbuiting in het wild gekomen. CISA voegde de fout toe aan de KEV -catalogus op 30 juni 2025.
“De term ‘Citrix Bleed’ wordt gebruikt omdat het geheugenlek herhaaldelijk kan worden geactiveerd door dezelfde lading te verzenden, waarbij elke poging een nieuw stuk stapelgeheugen lekte – effectief ‘bloedende’ gevoelige informatie, ‘zei Akamai, waarschuwend voor een’ drastische toename van het scannerscannerverkeer ‘na exploitatie -details die publiek werden.
“Deze fout kan ernstige gevolgen hebben, aangezien de getroffen apparaten kunnen worden geconfigureerd als VPN’s, proxy’s of AAA -virtuele servers. Sessietokens en andere gevoelige gegevens kunnen worden blootgesteld – waardoor ongeautoriseerde toegang tot interne applicaties, VPN’s, datacenternetwerken en interne netwerken mogelijk kan worden gemaakt.”
Omdat deze apparaten vaak dienen als gecentraliseerde toegangspunten in bedrijfsnetwerken, kunnen aanvallers van gestolen sessies draaien om toegang te krijgen tot enkele aanmeldingsportals, clouddashboards of bevoorrechte admin-interfaces. Dit type zijbeweging – waar een voet aan de grond wordt gekregen, wordt snel volledige netwerktoegang – is vooral gevaarlijk in hybride IT -omgevingen met zwakke interne segmentatie.
Om deze fout te verzachten, moeten organisaties onmiddellijk upgraden naar de gepatchte builds in Citrix’s 17 juni Advisory, inclusief versie 14.1-43.56 en later. Na patching moeten alle actieve sessies – vooral die geverifieerd via AAA of Gateway – met geweld worden beëindigd om gestolen tokens ongeldig te maken.
Admins worden ook aangemoedigd om logboeken (bijv. Ns.Log) te inspecteren op verdachte verzoeken om eindpunten te verificatie zoals /p/u/doauthentication.do, en reacties te beoordelen op onverwachte XML -gegevens zoals
De ontwikkeling volgt ook op rapporten over actieve exploitatie van een kritische beveiligingslek in Osgeo Geoserver Geotools (CVE-2024-36401, CVSS-score: 9.8) om NetCAT en de XMRIG Cryptocurrency Miner in aanvallen in aanvallen in te richten op aanvallen in aanvallen in aanvallen in aanvallen. CISA voegde de fout toe aan de KEV -catalogus in juli 2024.
“Dreigingsacteurs zijn gericht op omgevingen met kwetsbare geoserverinstallaties, waaronder die van Windows en Linux, en hebben NetCAT- en XMRIG -muntmijnwerker geïnstalleerd,” zei Ahnlab.
“Wanneer een muntmijnwerker is geïnstalleerd, gebruikt deze de bronnen van het systeem om de Monero -munten van de dreigingsacteur te minen. De dreigingsacteur kan vervolgens de geïnstalleerde NetCat gebruiken om verschillende kwaadwillende gedragingen uit te voeren, zoals het installeren van andere malware of het stelen van informatie van het systeem.”
