- 19,419
- 40
- 8 Ноя 2022
Эксплоит Horizon3 вскрыл память Citrix, но компания продолжает молчать.
Специалисты представили рабочие эксплойты для критической уязвимости в устройствах Citrix NetScaler ADC и Gateway. Проблема получила идентификатор Для просмотра ссылки Войдиили Зарегистрируйся и неофициальное название CitrixBleed2 — в явной отсылке к Для просмотра ссылки Войди или Зарегистрируйся уязвимости 2023 года, которая широко использовалась в атаках вымогателей и на государственные организации. Новая Для просмотра ссылки Войди или Зарегистрируйся позволяет злоумышленникам легко получить данные из оперативной памяти устройств, включая токены пользовательских сессий.
CitrixBleed2 проявляется в момент входа в систему через отправку специально сформированных POST-запросов. Суть атаки заключается в том, что параметр login в теле запроса указывается без знака равенства и значения. В результате NetScaler возвращает часть содержимого памяти — до первого нулевого байта — внутри XML-элемента <InitialValue>. Такая реакция вызвана использованием функции <code>snprintf</code> с форматной строкой <code>%.*s</code>, которая заставляет систему возвращать до 127 байт неинициализированных данных из стека при каждом обращении к уязвимому эндпоинту.
Команда watchTowr первой Для просмотра ссылки Войдиили Зарегистрируйся техническое описание бага, отметив, что в процессе тестов получить чувствительные данные им не удалось. Однако специалисты из Horizon3 Для просмотра ссылки Войди или Зарегистрируйся воспроизвести атаку и получить токены активных сессий, а также подтвердили, что уязвимость распространяется и на конфигурационные утилиты, используемые администраторами.
Несмотря на наличие рабочих эксплойтов и видео-демонстрацию успешной атаки, Citrix продолжает Для просмотра ссылки Войдиили Зарегистрируйся , что CVE-2025-5777 в дикой природе не эксплуатируется. Компания ссылается на собственный блог, где указывается, что пока не зафиксировано ни одного подтверждённого случая взлома через данную уязвимость.
Однако отчёт ReliaQuest Для просмотра ссылки Войдиили Зарегистрируйся об обратном: фиксируется рост случаев захвата пользовательских сессий, а сам механизм атаки указывает на возможную эксплуатацию именно этой уязвимости. Схожее мнение озвучивает и независимый специалист по безопасности Кевин Бомонт, который Для просмотра ссылки Войди или Зарегистрируйся в логах NetScaler характерные признаки атаки — в частности, повторяющиеся POST-запросы к <code>doAuthentication</code>, каждый из которых приводил к утечке 126 байт оперативной памяти. Кроме того, в логах сессий появлялись строки с символом <code>#</code> в поле имени пользователя — RAM «вливалась» в неправильные поля, что может быть признаком несанкционированного доступа.
Бомонт подчёркивает, что всё это стало возможным лишь благодаря публикациям команд watchTowr и Horizon3. Без них заметить активную эксплуатацию было бы затруднительно, особенно с учётом отказа Citrix делиться индикаторами компрометации. Он также указывает, что подобное поведение компании уже наблюдалось при инциденте с первой уязвимостью CitrixBleed в 2023 году.
Для устранения угрозы Citrix выпустила обновления прошивки, которые закрывают дыру. Также рекомендуется вручную завершить все активные ICA- и PCoIP-сессии, но перед этим — проверить их на наличие подозрительных признаков. При наличии аномалий в логах или подозрительных токенов, может потребоваться перезапуск всей инфраструктуры аутентификации.
Специалисты представили рабочие эксплойты для критической уязвимости в устройствах Citrix NetScaler ADC и Gateway. Проблема получила идентификатор Для просмотра ссылки Войди
CitrixBleed2 проявляется в момент входа в систему через отправку специально сформированных POST-запросов. Суть атаки заключается в том, что параметр login в теле запроса указывается без знака равенства и значения. В результате NetScaler возвращает часть содержимого памяти — до первого нулевого байта — внутри XML-элемента <InitialValue>. Такая реакция вызвана использованием функции <code>snprintf</code> с форматной строкой <code>%.*s</code>, которая заставляет систему возвращать до 127 байт неинициализированных данных из стека при каждом обращении к уязвимому эндпоинту.
Команда watchTowr первой Для просмотра ссылки Войди
Несмотря на наличие рабочих эксплойтов и видео-демонстрацию успешной атаки, Citrix продолжает Для просмотра ссылки Войди
Однако отчёт ReliaQuest Для просмотра ссылки Войди
Бомонт подчёркивает, что всё это стало возможным лишь благодаря публикациям команд watchTowr и Horizon3. Без них заметить активную эксплуатацию было бы затруднительно, особенно с учётом отказа Citrix делиться индикаторами компрометации. Он также указывает, что подобное поведение компании уже наблюдалось при инциденте с первой уязвимостью CitrixBleed в 2023 году.
Для устранения угрозы Citrix выпустила обновления прошивки, которые закрывают дыру. Также рекомендуется вручную завершить все активные ICA- и PCoIP-сессии, но перед этим — проверить их на наличие подозрительных признаков. При наличии аномалий в логах или подозрительных токенов, может потребоваться перезапуск всей инфраструктуры аутентификации.
- Источник новости
- www.securitylab.ru
