CitrixBleed on palannut – ja pahempana.
Uusi haavoittuvuus CVE-2025-5777, joka tunnetaan leikkisästi nimellä ”CitrixBleed 2: Electric Boogaloo”, on kriittinen ja aktiivisesti hyväksikäytetty muistivuoto Citrix NetScaler ADC- ja Gateway-laitteissa.
Sen avulla hyökkääjä voi ilman tunnistautumista lukea laitteen muistia ja mahdollisesti siepata sessiotunnisteita, joita voi käyttää MFA:n ohittamiseen ja istuntojen kaappaamiseen1.
Citrix NetScalerin käyttö maailmassa
Arvioitu laitetiheys ja käyttäjämäärät:
Yli 217 000 live‑sivustoa käyttää aktiivisesti Citrix NetScaler -alustan edullisuutta ja suorituskykyä
Netscalerin mukaan noin 9 600–10 000 organisaatiota käyttää Citrix NetScaler -laitteita – erityisesti suuryritykset (1 000–5 000 työntekijää ja yli miljardi USD liikevaihtoa) .
NetScaleria käyttävät miltei kaikki Fortune 500 ‑yritykset, mukaan lukien eBay, IKEA ja 90 % Fortune 500 -listan yhtiöistä
Eniten NetScaleria käyttävät IT ja finanssialan organisaatiot sekä terveydenhuolto, pilvipalvelut ja julkaisuala .
Maantieteellisesti Yhdysvallat johtaa (~53–57 % kaikista), muita merkittäviä käyttäjiä ovat UK, Australia, Kanada ja Intia .
Haavoittuvuuden tekninen kuvaus
Tyyppi: Out-of-Bounds Read
CVSS: Korkea (tarkka pisteytys vaihtelee arvioijittain)
Vaarallisuus: Etäkäyttö ilman autentikointia, potentiaali sessioiden kaappaamiseen ja laajempaan lateraaliliikkeeseen
Vaikuttaa kokoonpanoihin: NetScaler Gateway, AAA virtual servers, yleiset Citrix-etäkäyttöympäristöt
Ei vaadi erityistä käyttöliittymäaltistusta, vaikka aiemmin CVE-kuvaus viittasi Management Interfaceen
Käytännössä yksi HTTP-pyyntö riittää käynnistämään muistidumpin. Jos laite toimii etäkäyttöporttina (esim. RDP tai ICA), hyökkääjä voi saada kriittistä tietoa, mukaan lukien istuntotunnuksia ja mahdollisesti kirjautumisen jälkeisiä tunnisteita1.
Aktiivinen hyväksikäyttö ja tilannekuva
CISA on vahvistanut aktiiviset hyökkäyskampanjat. Joitakin hyökkäyksiä on raportoitu jo kesäkuun puolivälistä lähtien.
Akamai raportoi merkittävästä skannausaktiivisuuden kasvusta heti kun haavoittuvuudesta julkaistiin yksityiskohtia.
CISA on lisännyt haavoittuvuuden Known Exploited Vulnerabilities (KEV) -luetteloonsa ja antoi liittovaltion virastoille vain yhden vuorokauden aikaa paikata järjestelmänsä1.
Mitä sinun tulisi tehdä?
1. Tunnista:
Etsi verkosta ulospäin näkyvät Citrix NetScaler -laitteet, erityisesti Gateway- ja AAA-kokoonpanot. Voit käyttää esimerkiksi Shodania:
2. Päivitä:
Asenna viimeisimmät tietoturvapäivitykset Citrixin tiedotteen mukaisesti. Citrix ei ole virallisesti vahvistanut hyväksikäyttöä (vielä), mutta historiasta tiedämme, että tämä ei tarkoita turvallisuutta.
3. Katkaise aktiiviset istunnot päivityksen jälkeen:
Käytä seuraavia komentoja:
Tämä estää hyökkääjää käyttämästä mahdollisesti siepattuja sessiotunnuksia.
4. Seuraa tilannetta:
Tilanne elää. CISA, Citrix ja alan asiantuntijat (esim. Kevin Beaumont) julkaisevat jatkuvasti päivityksiä.
Miksi tämä on niin vaarallinen?
CitrixBleed 2 muistuttaa vuoden 2023 alkuperäistä CitrixBleediä (CVE-2023-4966), joka mahdollisti istuntotunnisteiden lukemisen muistista. Tämäntyyppiset bugit ovat erityisen vaarallisia, koska:
ne eivät vaadi tunnistautumista
niitä on vaikea havaita lokitasolla
ne mahdollistavat MFA:n ohittamisen
ne tarjoavat portin laajempaan hyökkäykseen organisaation sisäverkossa
Ja koska NetScaler-laitteet ovat usein ensilinjan portinvartijoita, haavoittuvuudella voi olla suoria vaikutuksia sekä saatavuuteen että tietoturvaan.
Lähteet:
