Een nieuwe kritieke kwetsbaarheid in Citrix NetScaler, aangeduid als CVE-2025-5777 en in de beveiligingsgemeenschap inmiddels bekend onder de naam CitrixBleed2, blijkt eenvoudig te misbruiken en is inmiddels het doelwit van proof-of-concept exploits.
Onderzoekers van onder andere watchTowr en Horizon3.ai waarschuwen dat kwaadwillenden hiermee gevoelige sessiegegevens kunnen buitmaken via ogenschijnlijk simpele loginverzoeken.
CitrixBleed2 treft zowel NetScaler ADC- als Gateway-apparaten en stelt een aanvaller in staat om rechtstreeks geheugeninhoud te lezen door foutieve POST-verzoeken te sturen tijdens het inloggen. Dit gebeurt zonder enige authenticatie. De kwetsbaarheid is vergelijkbaar met CVE-2023-4966, die in 2023 al grootschalig werd ingezet door ransomwaregroepen en staatsgeaffilieerde aanvallers om sessies over te nemen en netwerken binnen te dringen.
Onveilige verwerking van input
Volgens een uitgebreide technische analyse van watchTowr zit het probleem in het gebruik van de snprintf-functie in combinatie met een verkeerde formatstring. Wanneer een loginverzoek wordt gestuurd zonder een correcte login=-parameter, dus zonder het gelijkteken of een waarde, dan zal NetScaler reageren met een fout. Maar binnen die foutreactie bevindt zich geheugendata, afkomstig van de onveilige verwerking van de input. Omdat het gebruikte formaat %.*s ervoor zorgt dat NetScaler data weergeeft tot aan het eerste null-karakter, kan een aanvaller met elke aanvraag zo’n 127 bytes aan RAM-inhoud uitlezen.
WatchTowr wijst erop dat de fout reproduceerbaar is met een simpele curl-aanroep. Bij herhaalde verzoeken, telkens zonder de =, wordt bij iedere poging opnieuw een stukje ongeïnitialiseerde geheugenruimte gelekt. Dit zijn stukjes waarvan sommigen sessietokens of authenticatiedata kunnen bevatten. In de praktijk betekent dit dat een aanvaller via een geautomatiseerde aanvalslus de nodige gevoelige informatie kan verzamelen zonder detectie.
Waarschijnlijk toch actieve exploitatie
Hoewel Citrix in een blogpost nog steeds stelt dat er geen bewijs is van actieve exploitatie, wordt dat beeld betwist. Cybersecuritybedrijf ReliaQuest meldde eind juni al een opvallende toename in het aantal sessiekapingen bij klanten met NetScaler-infrastructuur. Beveiligingsonderzoeker Kevin Beaumont bevestigt die observatie. Volgens hem is de kwetsbaarheid sinds halverwege juni al actief in gebruik. Hij zegt dat het patroon van loggegevens van getroffen NetScaler-apparaten kenmerkend is: korte POST-verzoeken met opvallend lage content-length en sessielogregels waarin foutief RAM-geheugen in gebruikersvelden terechtkomt. Beaumont stelt dat zonder de diepgaande publicaties van watchTowr en Horizon3 deze activiteit onopgemerkt zou zijn gebleven.
In de videoanalyse van Horizon3 is bovendien te zien dat het niet slechts om theoretisch misbruik gaat. De onderzoekers tonen hoe via deze kwetsbaarheid daadwerkelijke sessietokens kunnen worden buitgemaakt. Die tokens kunnen vervolgens worden gebruikt om bestaande sessies over te nemen, met alle gevolgen van dien. Opvallend is ook dat de kwetsbaarheid niet beperkt blijft tot openbare NetScaler-eindpunten. Ook beheerinterfaces en configuratiehulpmiddelen blijken kwetsbaar, wat de impact voor interne infrastructuren vergroot.
Citrix heeft inmiddels beveiligingsupdates uitgebracht. Organisaties wordt met klem aangeraden om hun NetScaler ADC en Gateway-systemen zo snel mogelijk te patchen. Gezien de eenvoud van het misbruik en de beschikbaarheid van PoC-exploits, is de kans groot dat meer aanvallen zullen volgen.