CVE-2025-5777 Detecção: Nova Vulnerabilidade Crítica Apelidada de “CitrixBleed 2” no NetScaler ADC Está em Risco de Exploração
Índice:
Pouco após a divulgação de duas vulnerabilidades de escalada de privilégios locais relacionadas com o Sudo que afetam distribuições Linux amplamente utilizadas, a atenção voltou-se para uma falha crítica no NetScaler ADC, que já está a ser explorada ativamente. A vulnerabilidade, rastreada como CVE-2025-5777, é caracterizada como um problema de overflow de memória que pode conduzir a desvios inesperados de fluxo de controlo e possíveis condições de negação de serviço. A CVE-2025-5777 ganhou destaque principalmente devido à sua semelhança com a CVE-2023-4966, anteriormente divulgada e também conhecida como CitrixBleed, que afetou instâncias do Citrix NetScaler ADC e Gateway. Como resultado, a CVE-2025-5777 recebeu o apelido não oficial de “CitrixBleed 2”.
Detetar Tentativas de Exploração da CVE-2025-5777
Com o ambiente digital a tornar-se cada vez mais complexo, o volume de vulnerabilidades identificadas está a crescer rapidamente, aumentando a pressão sobre as equipas de cibersegurança. Só em 2025, o NIST já documentou mais de 24.000 CVEs, e as projeções sugerem que esse número poderá ultrapassar os 49.000 até ao final do ano.
Registe-se na plataforma SOC Prime para aceder a um feed global de ameaças ativas, com inteligência de ameaças acionável e conteúdos de deteção curados por especialistas, concebidos para ajudar a identificar e responder a ataques reais, incluindo tentativas de exploração da nova vulnerabilidade CitrixBleed 2.
Especificamente, a plataforma disponibiliza uma regra dedicada criada pela equipa da SOC Prime que permite identificar a exploração da CVE-2025-5777 (também conhecida como CitrixBleed 2), a qual envolve fugas de memória em respostas, podendo levar à exposição de tokens de sessão e outros dados sensíveis.
Possible CitrixBleed 2 Exploitation Attempt [CVE-2025-5777]
A regra é compatível com 16 plataformas SIEM, EDR e Data Lake, e está alinhada com o MITRE ATT&CK framework. Está associada à tática de Acesso Inicial, sendo a técnica principal a Exploração de Aplicações Expostas Publicamente (T1190). Além disso, cada regra na plataforma SOC Prime é enriquecida com ligações de CTI, cronologias de ataque, configurações de auditoria e outros metadados relevantes.
Para acompanhar os novos conteúdos de deteção relacionados com a exploração da CitrixBleed 2, os profissionais de segurança podem utilizar a etiqueta CVE-2025-5777 no Threat Detection Marketplace ou clicar no botão Explorar Deteções abaixo.
Para quem deseja explorar o conjunto completo de regras e queries relacionadas com a exploração de vulnerabilidades, a nossa extensa biblioteca de regras Sigma está disponível para consulta com uma etiqueta CVE dedicada.
Os engenheiros de segurança também podem recorrer ao Uncoder AI — uma IA privada, não agente, concebida para engenharia de deteção orientada por ameaças. Com o Uncoder, os defensores podem converter automaticamente IOCs em queries de hunting acionáveis, criar regras de deteção a partir de relatórios brutos, ativar a previsão de tags ATT&CK, aproveitar a otimização de queries orientada por IA e traduzir conteúdos de deteção entre várias plataformas.
Análise da CVE-2025-5777
A expandir a lista de zero-days críticos no Citrix NetScaler, surgiu a nova vulnerabilidade crítica CVE-2025-5777, apelidada de “CitrixBleed 2” pela sua semelhança com a CVE-2023-4966 (CitrixBleed), que atraiu a atenção dos investigadores. A CVE-2023-4966 manteve-se sob exploração ativa mesmo após o lançamento do patch em outubro de 2023.
A CVE-2025-5777, com uma pontuação CVSS de 9.3, resulta de uma validação insuficiente de entradas que conduz a uma leitura excessiva de memória. Tal como a sua antecessora, a CitrixBleed 2 explora leituras fora dos limites de memória para extrair dados de autenticação, nomeadamente tokens de sessão, diretamente da memória. Estes tokens roubados podem ser utilizados para contornar MFA e sequestrar sessões ativas de utilizadores, permitindo acessos não autorizados a sistemas críticos. Para que a vulnerabilidade seja explorada com sucesso, o appliance tem de estar configurado como Gateway (ex: servidor virtual VPN, ICA Proxy, CVPN, RDP Proxy) ou como servidor virtual AAA.
Embora ambas as falhas permitam a violação da autenticação e o controlo de sessões, a CitrixBleed 2 foca-se nos tokens de sessão em vez de cookies. Ao contrário dos cookies, geralmente ligados a sessões de browser, os tokens suportam mecanismos de autenticação persistente, como interações com APIs ou sessões de aplicação prolongadas. Como tal, os atacantes podem manter acesso furtivo a múltiplos sistemas, mesmo após o utilizador encerrar o browser ou terminar a sessão.
Embora inicialmente se tenha afirmado que a CVE-2025-5777 afetava a interface de gestão, essa informação foi posteriormente removida da base de dados do NIST CVE. Ainda assim, os investigadores da ReliaQuest observaram indícios de exploração ativa, incluindo sequestro de sessões, uso de IPs associados a VPNs de consumidores e ferramentas indicativas de reconhecimento em Active Directory.
A falha afeta as seguintes versões suportadas do NetScaler ADC e Gateway: 14.1 anterior à 14.1-43.56, 13.1 anterior à 13.1-58.32, 13.1-FIPS/NDcPP anterior à 13.1-37.235 e 12.1-FIPS anterior à 12.1-55.328. As versões 12.1 e 13.0 estão em fim de vida (EOL) e permanecem vulneráveis. A Citrix recomenda vivamente que os clientes atualizem para versões corrigidas suportadas como medida imediata de mitigação da CVE-2025-5777. Adicionalmente, é recomendado executar comandos específicos para terminar todas as sessões ICA e PCoIP ativas após a atualização de todos os appliances NetScaler num par de alta disponibilidade ou cluster. Esta ação garante que sessões potencialmente comprometidas iniciadas antes do patch sejam encerradas à força, reduzindo o risco de atividade pós-exploração.
Com mais de 69.000 instâncias NetScaler Gateway e ADC atualmente expostas online, o risco de exploração está a aumentar. No entanto, ainda não está claro quantas operam em versões vulneráveis. Apesar de alguns fornecedores ainda não terem confirmado explorações, muitos especialistas de segurança esperam abusos ativos da CitrixBleed 2 em breve. Para detetar proativamente possíveis tentativas de exploração, as equipas de segurança podem contar com a solução completa da SOC Prime, suportada por IA, capacidades de automação e inteligência de ameaças em tempo real — reforçando a defesa da organização à escala.