CVE‑2025‑5777: новая уязвимость в Citrix NetScaler с риском утечки данных

CVE‑2025‑5777: новая уязвимость в Citrix NetScaler с риском утечки данных

В устройствах Citrix NetScaler ADC и NetScaler Gateway обнаружена критическая уязвимость, с помощью которой злоумышленники могут извлекать чувствительные данные из памяти устройств
18 июля 2025 г.

В июле 2025 года была раскрыта критическая уязвимость в устройствах Citrix NetScaler ADC и NetScaler Gateway. Она получила идентификатор CVE‑2025‑5777, оценку 9,3 по шкале CVSS и название CitrixBleed 2 — по аналогии с уязвимостью CVE‑2023‑4966 (CitrixBleed). Первая версия позволяла атакующим получить доступ к конфиденциальным данным в процессе обработки HTTP-запросов через уязвимость в сессиях. В новой — фокус смещен на некорректную обработку POST-параметров, но результат тот же: возможна утечка данных из памяти устройств NetScaler.

Как эксплуатировали уязвимость

Злоумышленники отправляли специально сформированный POST-запрос к странице аутентификации (/p/u/doAuthentication.do) с телом, содержащим параметр login без знака равенства (=). Такой запрос нарушает обработку параметров, в результате чего злоумышленник получает доступ к оперативной памяти объемом до 127 байтов. Она может содержать фрагменты HTTP-запросов, включая сесcионные токены или любые другие чувствительные данные.

Какие продукты под угрозой

  • NetScaler ADC и NetScaler Gateway до версии 14.1‑43.56 и до версии 13.1‑58.32;
  • NetScaler ADC 13.1‑FIPS и NDcPP до версии 13.1‑37.235‑FIPS и NDcPP;
  • NetScaler ADC 12.1‑FIPS до версии 12.1‑55.328‑FIPS.

Как защититься

  1. Установите официальные патчи. Уязвимость устранена в новых версиях Citrix NetScaler ADC и Citrix NetScaler Gateway.
  2. Проверьте следы эксплуатации этой уязвимости. Главный индикатор — аномальное количество запросов к пути /p/u/doAuthentication.do с некорректно сформированным телом запроса (у параметра login отсутствует знак равенства (=)).
  3. Используйте альтернативное решение. Например, WAF для ограничения запросов к пути /p/u/doAuthentication.do, не содержащих знак равенства (=) после POST-параметра login. Соответствующие правила для блокировки атаки уже применены для всех клиентов BI.ZONE WAF.

Как помогают наши решения

BI.ZONE CPT в автоматизированном режиме обнаруживает подобные уязвимости. При этом наши пентестеры вручную верифицируют уязвимости, исключают ложные срабатывания и дают точные рекомендации.

Интеграция с BI.ZONE Threat Intelligence позволяет приоритизировать риски и действовать до наступления инцидента.

Полезная ссылка

Подробный разбор уязвимости от watchTowr

#атаки
#уязвимости
#рекомендации
#продукты