Citrix krvari 2 u aktivnom napadu, izvještaji sugeriraju

Svježe otkrivena ranjivost u trajnom podmorištu Citrix Netscaler Regulator za isporuku aplikacije (ADC) i netscaler Gateway aparati, koji su u svojoj težini u poređenju sa citričnim krvavom od 2023. godine, čini se da napadaju pod nazivom neotkrivenih aktera za prijetnju, kažu bezvrijedni akteri.

Dodijeljen je kritički CVSS ocjena 9.3, CVE-2025-5777 je tehnički gledano, pročitana propusta koja proizlazi iz nedovoljne validacije unosa. Nazovite Citrix izvagle 2 od strane nezavisnog istraživača Kevin Beaumont, CVE-2025-5777, CITI-202666, CVE-2023-4966, u tom je vrhunski učinak omogućiti napadaču na oticanje autentičnosti (MFA) krađim važećim sesijama iz memorije netScaler uređaja.

Originalna ranjivost citrix-a pokazala se visoko efikasnim alatom za cyber zločince, a neke od najistaknutijih bandi otkucaja – uključujući Lockbit – tako da poruka liderima bezbednosti i braniteljima nakon otkrića ovog najnovijeg nedostatka ne gubim vrijeme i zakrpa.

Međutim, ova smjernica možda već dođe prekasno za neke organizacije, prema inteligenciji koju podijeli istraživački tim za prijetnju za prijetnju, a akteri prijetnje već počinju nabijati.

“Iako se ne pojavi javno izvještavanje o eksploataciji za ovu ranjivost, Reliaquest je primijetio naznake eksploatacije za dobivanje početnog pristupa”, rekao je reliaquest tim. “Reliaquest ocjenjuje srednjim samopouzdanjem da napadači aktivno iskorištavaju ovu ranjivost kako bi stekli početni pristup ciljanim okruženjima.

“Citrix preporučuje zakrpe pogođene sisteme na najnovijim verzijama i završavaju aktivne sesije za ublažavanje otmice sesije i daljnje rizike eksploatacije.”

Najistaltivo, rekao je reliaquest, njegovi analitičari prikupljali su dokaze o višestrukim citrix web sesijama iz Netscaler uređaja u kojima se čini da je autentifikacija dodijeljena bez znanja o korisniku – pojavila se vrlo jasan pokazatelj da je došlo do vrlo jasnog pokazatelja da je došlo do vrlo jasnog pokazatelja da je došlo do vrlo jasnog pokazatelja da je došlo do vrlo jasnog pokazatelja da je došlo do vrlo jasnog pokazatelja da je došlo do znanja o korisničkom jeziku.

Takođe je vidio dokaze o ponovnom korištenju sesija koji se protežu sa više IPS-a, uključujući kombinacije očekivanih i sumnjivih IPS-a; Lagani katalog Pristup upitima protokola povezanih s potencijalnim rekonstrukcijskim programom za postavljanje aktivnih direktorija; I višestruke instance u kojima je ADEXplorer64.exe Alat viđen u korisničkim okruženjima i upitaju grupe i dozvole na nivou domene i povezivanje s više kontrolera domena.

Konačno, reliaquest tim rekao je, oni u posmatraju i zapaženi broj sesija Citrixa koji dolaze iz IP adresa Datacentre-hosting, sugerirajući moguću upotrebu potrošačkih VPN usluga.

Sve ove točke – same ili u kombinaciji – mogle bi ukazivati ​​na to da akter prijetnje nabraja potencijalno okruženje žrtava, a branitelji bi trebali biti na izgledu za njih.

Netscaler ADC i korisnici prolaza trebali bi biti sigurni da bi se ažurirali na najnovijim verzijama po savjetovanju Citrixa, a učinivši to, to se također preporučuje, također se preporučuju niz naredbi za prekid aktivnih ICA i PCOIP-a.

Pisanje na LinkedInu, Charles Carmakal, glavnog tehnološkog službenika na Mandianci Google Cloud, rekao je da je ova posljednja tačka posebno važna da branitelji imaju na umu.

Podsjetio je kako je u visini prvog citrix krvarenja, mnoge žrtve utvrdile da su uprkos zakrpama, sesija već ukradene, pa su napadači bili u stanju zadržati pristup, u svim namjerama i svrhama. To je dovelo do većeg broja kompromisa nego što se inače može dogoditi.

Pročitajte više o prekršajnom menadžmentu i oporavku

• Najnovija ranjivost Citrix-a mogla bi biti svaka loša kao citrix krvari

  Napisao: Alex Scroxton

• Zajednički digitalni gateway bio je izvor tri NHS-ove napada na ransomware

  Napisao: Alex Scroxton

• Najčešće iskorištene ranjivosti u 2023. bili su nula dana

  Napisao: Arielle Waldman

• ZERO-DAN EKPRIZACI SVAKI PROTIV NAPANOVI

  Napisao: Alex Scroxton