Araştırmacılar Citrix NetScaler ADC ve Gateway’de okunan sınır dışı bir şekilde okunan Citrixbleed 2 (CVE-2025-5777) patladı.
Kusur, /p/u/doAuthentication.dosızan oturum çerezleri, MFA jetonları ve hatta düz metin şifreleri, isteyen herkese – gerekli olan zincirden yararlanmıyor.
10 Temmuz’a kadar CISA, hatayı bilinen sömürülen güvenlik açıkları kataloğuna yükseltti ve fırsatçı fidye yazılımı ekiplerinin ve devlet aktörlerinin onu vahşi doğada silahlandırdığını doğruladı.
Grinnoise telemetrisi, taramanın 1 Temmuz’da, Citrix’in tam teknik rehberlik yayınlamasından dokuz gün önce başladığını gösteriyor ve Censys, kamu internette yaklaşık 70.000 NetScaler örneği, söz konusu saldırı yüzeyinin kesin bir hatırlatıcısı.
Splunk analistleri, sızıntı paternine uygun ikili önemsiz ve XML etiketleri içeren 200 baytlık şüpheli yanıtlarda keskin bir artış kaydetti, genellikle beklenmedik jeolokasyonlardan başarılı VPN girişleri ile birkaç dakika içinde takip edildi.
Araştırmaları, kaçırılan oturumların açıkça feshedilene kadar geçerli kaldığını vurgulamaktadır, bu nedenle yama-o öldürme zorunlu değil, isteğe bağlı değildir.
Etki hemen: çalındı NSC_USER Ve NSC_TASS Çerezler, MFA’yı atlamak, ağların içindeki pivot’u atlayabilir ve fidye yazılımı veya uzaktan erişim implantlarını bırakabilir.
Federal ajanslar Temmuz ayı sonuna kadar 14.1-43.56 veya 13.1-58.32’ye yama yapmak zorunda kaldı, ancak hızlı yanıt verenler bile adli tıp zorluklarıyla karşı karşıya.
Bu arka plana karşı, Splunk’ın tehdit araştırma ekibi, NetScaler denetim günlüklerini ayrıştıran, CIM alanları ile zenginleştiren ve gerçek zamanlı olarak yüzey sömürü girişimleri olan analitik bir hikaye ve eşlik eden teknik eklenti yayınladı.
.webp)
Bu saldırı akışı, tek paket tetikleyiciyi oturum kaçırma sırasına eşler ve ayrıştırıcı yanlış kullandığında ne kadar az saldırgan çabasının gerekli olduğunu vurgulayarak login parametre.
Enfeksiyon Mekanizması: Hafıza Sızıntısı ve Seans Yeniden Kullanımı
Kaputun altında Citrixbleed 2, CWE-457’nin bir ders kitabı vakasıdır. Oturum açma parametresi eşit işaret veya değer olmadan sağlandığında, kimlik doğrulama işleyicisi bir arabelleği tahsis eder ve başlatılmamış verileri bir XML “öğesine yazdırır.
Saldırganın isteği aşağıdakilere benziyor:-
POST /p/u/doAuthentication.do HTTP/1.1
Host: victim.gateway
Content-Length: 5
loginNetScaler, şöyle bir şeyle ilgili olarak cevap verir:-
É|¼C÷PkÓßYsa5ÊÞÅÐ^Ð|@ºJZõ¶@¹^ì¶Uã7Kèg NSC_USER=8d3f2a1b;NSC_TASS=a4Buradan, düşman maruz kalan çerezleri tekrarlar:-
GET /vpn/index.html HTTP/1.1
Host: victim.gateway
Cookie: NSC_USER=8d3f2a1b; NSC_TASS=a4Splunk algılaması, bu kötü biçimlendirilmiş direği ve XML etiketleri arasında sıkıştırılamayan bayt içeren herhangi bir NetScaler yanıtı tespit etmeye bağlıdır.
Ekibin aşağıdaki SPL sorgusu, kaç farklı kaynağın istismar denemesini ve başarılı bellek açıklamasını bayrak ettiğini saymaktadır:-
index=netscaler sourcetype=citrix:netscaler:audit
| where uri="/p/u/doAuthentication.do" AND method="POST"
AND (match(request_body,"login\\s*$") OR match(request_body,"login[^=]"))
| stats count values(src_ip) min(_time) max(_time)Hitler göründüğünde, yanıt verenler önce cihazı yükseltmeli, ardından her canlı VPN ve ICA oturumunu temizlemelidir. kill vpn -all Ve kill icaconnection -all Yanal hareket artefaktları için kimlik bilgilerini döndürmeden ve tarama kütükleri.
İstismar kodu halihazırda dolaşırken, bu adımlar içerilen bir olay ile alan çapında bir uzlaşma arasındaki farktır.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.