Một lỗ hổng nghiêm trọng cho phép tin tặc vượt qua xác thực đa yếu tố trong các thiết bị quản lý mạng do Citrix sản xuất đã được tích cực khai thác trong hơn một tháng, các nhà nghiên cứu cho biết. Phát hiện này mâu thuẫn với lời khuyên từ nhà cung cấp nói rằng không có bằng chứng nào về việc khai thác trong tự nhiên.
Được theo dõi là CVE-2025-5777, lỗ hổng này có những điểm tương đồng với CVE-2023-4966, một lỗ hổng bảo mật có biệt danh CitrixBleed, dẫn đến sự xâm phạm của 20.000 thiết bị Citrix hai năm trước. Danh sách khách hàng của Citrix bị tấn công trong vụ khai thác CitrixBleed bao gồm Boeing, công ty vận tải biển DP World của Úc, Ngân hàng Thương mại Trung Quốc và công ty luật Allen & Overy. Một mạng Comcast đã được cũng vi phạm, cho phép các tác nhân đe dọa đánh cắp dữ liệu mật khẩu và thông tin nhạy cảm khác thuộc về 36 triệu khách hàng Xfinity.
Cho kẻ tấn công một khởi đầu thuận lợi
Cả CVE-2025-5777 và CVE-2023-4966 đều nằm trong Bộ điều khiển phân phối ứng dụng NetScaler của Citrix và NetScaler Gateway, cung cấp cân bằng tải và đăng nhập một lần trong mạng doanh nghiệp, tương ứng. Lỗ hổng này khiến các thiết bị dễ bị tấn công rò rỉ—or “bleed”— những đoạn nội dung bộ nhớ nhỏ sau khi nhận được các yêu cầu sửa đổi được gửi qua Internet.
Bằng cách liên tục gửi các yêu cầu giống nhau, tin tặc có thể ghép đủ dữ liệu lại với nhau để xây dựng lại thông tin xác thực. CitrixBleed ban đầu có mức độ nghiêm trọng là 9,8. CitrixBleed 2 có mức độ nghiêm trọng là 9,2.
Citrix đã tiết lộ lỗ hổng mới hơn và phát hành bản vá bảo mật cho nó 17 Tháng Sáu. Trong một cập nhật được xuất bản chín ngày sau đó, Citrix cho biết họ “hiện không biết về bất kỳ bằng chứng nào về việc khai thác.” Công ty đã không cung cấp thông tin cập nhật nào kể từ đó.
Tuy nhiên, các nhà nghiên cứu nói rằng họ đã tìm thấy bằng chứng cho thấy CitrixBleed 2, tên gọi của lỗ hổng mới hơn, đã bị khai thác tích cực trong nhiều tuần. Hãng bảo mật Greynoise nói rằng Thứ Hai rằng một cuộc tìm kiếm thông qua các bản ghi honeypot của nó đã tìm thấy sự khai thác sớm nhất là vào ngày 1 tháng 7. Hôm thứ Ba, nhà nghiên cứu độc lập Kevin Beaumont nói rằng đo từ xa từ những nhật ký honeypot đó cho thấy CitrixBleed 2 đã bị khai thác ít nhất kể từ ngày 23 tháng 6, ba ngày trước khi Citrix cho biết họ không có bằng chứng nào về những cuộc tấn công như vậy.
Việc Citrix không tiết lộ hoạt động khai thác tích cực chỉ là một trong những chi tiết mà các nhà nghiên cứu cho rằng đã bị thiếu trong các lời khuyên. Tuần trước, công ty bảo mật WatchTowr đã công bố a bài đăng có tiêu đề “Chúng ta phải chảy máu bao nhiêu nữa? – Tiết lộ bộ nhớ Citrix NetScaler (CitrixBleed 2 CVE-2025-5777).” Nó chỉ trích Citrix vì đã giữ lại các chỉ số mà khách hàng có thể sử dụng để xác định xem mạng của họ có bị tấn công hay không. Vào thứ Hai, công ty bảo mật Horizon3.ai nói rằng nhiều điều tương tự. Các nhà nghiên cứu của công ty đã viết:
.jpg)
