Détection de CVE-2025-5777 : une nouvelle vulnérabilité critique surnommée « CitrixBleed 2 » dans NetScaler ADC exposée au risque d’exploitation

Peu de temps après la divulgation de deux vulnérabilités locales d’élévation de privilèges liées à Sudo affectant les principales distributions Linux, l’attention s’est tournée vers un problème de sécurité critique dans NetScaler ADC, déjà exploité dans la nature. La vulnérabilité référencée CVE-2025-5777 est caractérisée comme un débordement mémoire pouvant entraîner un flux de contrôle inattendu et des conditions potentielles de déni de service. CVE-2025-5777 a suscité l’attention principalement en raison de sa similarité avec la vulnérabilité divulguée précédemment CVE-2023-4966, également connue sous le nom de CitrixBleed, qui affectait les instances NetScaler ADC et Gateway de Citrix. Par conséquent, CVE-2025-5777 a été surnommée officieusement « CitrixBleed 2 ».

Détecter les tentatives d’exploitation de CVE-2025-5777

Avec un environnement numérique qui se complexifie chaque jour davantage, le volume de vulnérabilités nouvellement identifiées augmente rapidement, ce qui pèse lourdement sur les équipes de cybersécurité. Rien qu’en 2025, le NIST a déjà documenté plus de 24 000 CVE, et les prévisions suggèrent que ce chiffre pourrait dépasser 49 000 d’ici la fin de l’année.

Inscrivez-vous sur la plateforme SOC Prime pour accéder à un flux mondial de menaces actives, comprenant des renseignements exploitables et un contenu de détection expert conçu pour vous aider à identifier et répondre aux attaques réelles, y compris les tentatives d’exploitation du dernier bug CitrixBleed 2.

Plus précisément, la plateforme propose une règle dédiée créée par l’équipe SOC Prime qui permet d’identifier l’exploitation de CVE-2025-5777 (également appelée CitrixBleed 2), impliquant une fuite de mémoire dans les réponses pouvant entraîner la compromission de jetons de session et d’autres données sensibles.

Possible CitrixBleed 2 Exploitation Attempt [CVE-2025-5777]

La règle est compatible avec 16 plateformes SIEM, EDR et Data Lake, et alignée avec le framework MITRE ATT&CK. Elle cible les tactiques d’Accès Initial, la technique principale étant l’Exploitation d’Applications exposées au public (T1190). De plus, chaque règle sur la plateforme SOC Prime est enrichie de liens vers des renseignements CTI, de chronologies d’attaques, de configurations d’audit et d’autres métadonnées pertinentes.

Pour suivre les nouveaux contenus de détection détectant les exploits CitrixBleed 2, les professionnels de la sécurité peuvent utiliser le tag CVE-2025-5777 correspondant pour parcourir le Threat Detection Marketplace ou simplement cliquer sur le bouton Explorer les détections ci-dessous.

Explorer les détections

Pour ceux qui souhaitent explorer l’ensemble complet des règles et requêtes liées à l’exploitation des vulnérabilités, notre vaste bibliothèque de règles Sigma est disponible avec un tag CVE dédié.

Les ingénieurs sécurité peuvent également tirer parti d’Uncoder AI — une IA privée, non agentique, conçue spécifiquement pour l’ingénierie de détection basée sur le renseignement sur les menaces. Avec Uncoder, les défenseurs peuvent automatiquement convertir des IOC en requêtes de chasse exploitables, créer des règles de détection à partir de rapports bruts, activer la prédiction de tags ATT&CK, optimiser les requêtes grâce à l’IA, et traduire du contenu de détection sur plusieurs plateformes.

Analyse de CVE-2025-5777 

Enrichissant la liste des zero-days critiques de Citrix NetScaler, une nouvelle vulnérabilité critique, CVE-2025-5777, surnommée « CitrixBleed 2 » en raison de sa ressemblance avec CVE-2023-4966 (alias CitrixBleed), a attiré l’attention des chercheurs. La vulnérabilité malveillante CVE-2023-4966 était exploitée activement dans la nature, même après la publication d’un correctif en octobre 2023.

CVE-2025-5777, avec un score CVSS de 9,3, résulte d’une validation insuffisante des entrées menant à une lecture mémoire hors limites. À l’instar de son prédécesseur, CitrixBleed 2 exploite des lectures mémoire hors bornes pour extraire des données d’authentification, notamment des jetons de session, directement depuis la mémoire. Ces jetons volés peuvent être utilisés pour contourner l’authentification multifacteur (MFA) et détourner des sessions utilisateur actives, permettant ainsi un accès non autorisé à des systèmes critiques. Cependant, pour que la vulnérabilité soit exploitée avec succès, l’appliance doit être configurée en tant que Gateway (par exemple, serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou en tant que serveur virtuel AAA.

Alors que les deux failles permettent le contournement de l’authentification et le détournement de session, CitrixBleed 2 déplace l’attention des cookies de session vers les jetons de session. Contrairement aux cookies, généralement liés aux sessions basées sur navigateur, les jetons supportent souvent des mécanismes d’authentification persistante, tels que les interactions API ou les sessions d’application de longue durée. En conséquence, les attaquants peuvent obtenir un accès prolongé et furtif à plusieurs systèmes, même après que l’utilisateur a fermé son navigateur ou terminé sa session.

Bien qu’il ait été initialement affirmé que CVE-2025-5777 impactait l’interface de gestion, cette déclaration a ensuite été supprimée de la base de données NIST CVE. Néanmoins, des chercheurs de ReliaQuest ont observé des indices suggérant une exploitation en conditions réelles, notamment le détournement de sessions, l’utilisation d’IPs liées à des VPN grand public, et des outils indiquant une reconnaissance Active Directory (AD).

La faille affecte les versions supportées suivantes de NetScaler ADC et Gateway : 14.1 avant la 14.1-43.56, 13.1 avant la 13.1-58.32, 13.1-FIPS/NDcPP avant la 13.1-37.235, et 12.1-FIPS avant la 12.1-55.328. Les versions 12.1 et 13.0 sont en fin de vie et restent vulnérables. Citrix recommande vivement à ses clients de mettre à jour vers des versions corrigées supportées comme mesure rapide d’atténuation de CVE-2025-5777. De plus, le fournisseur préconise d’exécuter des commandes spécifiques pour terminer toutes les sessions ICA et PCoIP actives une fois que tous les appliances NetScaler dans une paire haute disponibilité ou un cluster ont été mises à jour. Cette action garantit la fermeture forcée de toute session potentiellement compromise initiée avant le correctif, minimisant ainsi le risque d’activité post-exploitation.

Avec plus de 69 000+ instances NetScaler Gateway et ADC actuellement exposées en ligne, les risques d’exploitation augmentent. Cependant, il reste incertain combien d’entre elles fonctionnent sur des versions logicielles vulnérables. Alors que certains fournisseurs n’ont pas encore confirmé d’exploitation, de nombreux acteurs de la communauté sécurité anticipent un abus actif imminent de CitrixBleed 2. Pour détecter proactivement les tentatives potentielles d’exploitation de la vulnérabilité, les équipes de sécurité peuvent compter sur l’ensemble complet de produits SOC Prime soutenu par l’IA, les capacités d’automatisation et le renseignement en temps réel, tout en renforçant la défense de l’organisation à grande échelle.