Rilevamento di CVE-2025-5777: Una nuova vulnerabilità critica denominata “CitrixBleed 2” in NetScaler ADC è a rischio di sfruttamento

Indice:
Poco dopo la divulgazione di due vulnerabilità di escalation locale dei privilegi legate a Sudo che interessano le principali distribuzioni Linux, l’attenzione si è spostata su un problema di sicurezza critico in NetScaler ADC, già sfruttato in ambiente reale. La vulnerabilità identificata come CVE-2025-5777 è caratterizzata da un problema di overflow della memoria che può causare un flusso di controllo inatteso e potenziali condizioni di denial-of-service. CVE-2025-5777 ha attirato particolare attenzione principalmente per la sua somiglianza con la precedente CVE-2023-4966, nota come CitrixBleed, che ha interessato le istanze Citrix NetScaler ADC e Gateway. Di conseguenza, CVE-2025-5777 è stata soprannominata informalmente “CitrixBleed 2”.
Rilevare i Tentativi di Sfruttamento di CVE-2025-5777
Con l’ambiente digitale che si complica giorno dopo giorno, il volume delle vulnerabilità recentemente identificate cresce rapidamente, aumentando significativamente il carico di lavoro per i team di cybersecurity. Solo nel 2025, il NIST ha già documentato oltre 24.000 CVE, e le proiezioni suggeriscono che tale numero possa superare i 49.000 entro la fine dell’anno.
Iscriviti alla piattaforma SOC Prime per accedere a un feed globale di minacce attive, con intelligence sulle minacce azionabile e contenuti di rilevamento curati da esperti, progettati per aiutarti a identificare e rispondere ad attacchi reali, inclusi i tentativi di sfruttamento del più recente bug CitrixBleed 2.
In particolare, la piattaforma offre una regola dedicata sviluppata dal team SOC Prime che consente di identificare lo sfruttamento di CVE-2025-5777 (noto anche come CitrixBleed 2), che comporta una perdita di memoria nelle risposte e potrebbe portare al compromesso di token di sessione e altri dati sensibili.
Possible CitrixBleed 2 Exploitation Attempt [CVE-2025-5777]
La regola è compatibile con 16 piattaforme SIEM, EDR e Data Lake ed è allineata al framework MITRE ATT&CK. Copre tattiche di Accesso Iniziale, con la tecnica principale identificata come Sfruttamento di Applicazioni Pubbliche (T1190). Inoltre, ogni regola della piattaforma SOC Prime è arricchita con link a CTI, timeline degli attacchi, configurazioni di audit e altri metadati rilevanti.
Per tracciare i nuovi contenuti di rilevamento che individuano gli exploit CitrixBleed 2, i professionisti della sicurezza possono usare il tag CVE-2025-5777 corrispondente per navigare nel Threat Detection Marketplace o semplicemente premere il pulsante Esplora i Rilevamenti qui sotto.
Per chi desidera esplorare l’intero set di regole e query relative allo sfruttamento delle vulnerabilità, la nostra vasta libreria di regole Sigma è disponibile con un tag CVE dedicato.
Gli ingegneri della sicurezza possono anche sfruttare Uncoder AI, un’IA privata e non agentica progettata specificamente per l’ingegneria della rilevazione basata su intelligence sulle minacce. Con Uncoder, i difensori possono convertire automaticamente IOC in query di hunting azionabili, creare regole di rilevamento da report di minacce grezzi, abilitare la predizione dei tag ATT&CK, sfruttare l’ottimizzazione AI-driven delle query e tradurre i contenuti di rilevamento su più piattaforme.
Analisi di CVE-2025-5777
Arricchendo l’elenco dei zero-day critici di Citrix NetScaler, una nuova vulnerabilità critica, CVE-2025-5777, soprannominata “CitrixBleed 2” per la sua somiglianza con CVE-2023-4966 (alias CitrixBleed), ha attirato l’attenzione dei ricercatori. Il pericoloso difetto CVE-2023-4966 è rimasto attivamente sfruttato in ambiente reale anche dopo il rilascio di una patch nell’ottobre 2023.
CVE-2025-5777, con un punteggio CVSS di 9.3, deriva da una validazione insufficiente degli input che porta a una lettura eccessiva della memoria. Come il suo predecessore, CitrixBleed 2 sfrutta letture di memoria fuori limite per estrarre dati di autenticazione, in particolare token di sessione, direttamente dalla memoria. Questi token rubati possono essere usati per bypassare l’autenticazione multi-fattore (MFA) e dirottare sessioni utente attive, consentendo l’accesso non autorizzato a sistemi critici. Tuttavia, per sfruttare con successo la vulnerabilità, l’appliance deve essere configurata come Gateway (ad esempio server virtuale VPN, proxy ICA, CVPN, proxy RDP) oppure come server virtuale AAA.
Pur consentendo entrambi il bypass dell’autenticazione e il takeover delle sessioni, CitrixBleed 2 sposta l’attenzione dai cookie di sessione ai token di sessione. A differenza dei cookie, generalmente legati a sessioni browser, i token supportano spesso meccanismi di autenticazione persistente, come le interazioni API o sessioni di applicazioni a lunga durata. Di conseguenza, gli attaccanti possono ottenere accessi prolungati e stealth a più sistemi, anche dopo che un utente ha chiuso il browser o terminato la sessione.
Nonostante inizialmente fosse stato dichiarato che CVE-2025-5777 impattasse l’interfaccia di gestione, tale affermazione è stata successivamente rimossa dal database NIST CVE. Tuttavia, i ricercatori di ReliaQuest hanno osservato segni indicativi di sfruttamento in ambiente reale, tra cui dirottamento di sessioni, uso di IP associati a VPN consumer e strumenti tipici della ricognizione Active Directory.
La vulnerabilità interessa le seguenti versioni supportate di NetScaler ADC e Gateway: 14.1 prima della 14.1-43.56, 13.1 prima della 13.1-58.32, 13.1-FIPS/NDcPP prima della 13.1-37.235, e 12.1-FIPS prima della 12.1-55.328. Le versioni 12.1 e 13.0 sono End-of-Life e rimangono vulnerabili. Citrix invita i clienti ad aggiornare tempestivamente alle versioni corrette supportate come misura di mitigazione immediata per CVE-2025-5777. Inoltre, il vendor raccomanda di eseguire specifici comandi per terminare tutte le sessioni ICA e PCoIP attive una volta aggiornati tutti gli appliance NetScaler in un cluster o coppia ad alta disponibilità. Questa azione garantisce la chiusura forzata di eventuali sessioni compromesse avviate prima della patch, minimizzando il rischio di attività post-sfruttamento.
Con oltre 69.000 istanze NetScaler Gateway e ADC attualmente esposte online, il rischio di sfruttamento cresce. Tuttavia, non è chiaro quante di queste operino su versioni software vulnerabili. Sebbene alcuni vendor non abbiano ancora confermato sfruttamenti attivi, molti esperti della sicurezza prevedono un abuso imminente di CitrixBleed 2. Per rilevare proattivamente potenziali tentativi di sfruttamento, i team di sicurezza possono affidarsi alla suite completa di SOC Prime, supportata da AI, automazione e intelligence sulle minacce in tempo reale, rafforzando così le difese dell’organizzazione su larga scala.