CISA confirme que la vulnérabilité Citrix Bleed 2 est exploitée activement

HomeNews* CISA a ajouté une vulnérabilité critique de Citrix NetScaler (CVE-2025-5777) à son Catalogue des vulnérabilités connues exploitées après confirmation d'attaques actives.

• La vulnérabilité, appelée "Citrix Bleed 2", permet de contourner l'authentification et d'effectuer des lectures de mémoire, ce qui peut entraîner une exposition potentielle de données sensibles.
• Des chercheurs en sécurité et des fournisseurs ont signalé une exploitation continue par des attaquants, malgré le fait que Citrix n'ait pas encore mis à jour ses propres avis.
• Les attaquants ciblent des appareils réseau critiques, mettant en péril les réseaux d'entreprise, tandis que la CISA recommande un patchage immédiat et une terminaison forcée des sessions.
• D'autres vulnérabilités, telles que CVE-2024-36401 dans GeoServer, sont également utilisées dans des attaques, y compris le déploiement de logiciels malveillants de minage de crypto-monnaie. Le 10 juillet 2025, l'Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) a ajouté une faille de sécurité critique affectant le Citrix NetScaler ADC et Gateway à son catalogue des vulnérabilités connues exploitées (KEV). Cette décision confirme que la vulnérabilité, identifiée comme CVE-2025-5777, est utilisée dans des cyberattaques actives.

• Publicité - CVE-2025-5777, également connu sous le nom de "Citrix Bleed 2", a un score CVSS de 9.3. La vulnérabilité existe en raison d'une validation des entrées insuffisante. Lorsqu'elle est exploitée, elle permet aux attaquants de contourner l'authentification sur les systèmes configurés comme serveur Gateway ou serveur virtuel AAA. Ce problème provoque une surlecture de la mémoire, révélant potentiellement des informations sensibles.

Un rapport du chercheur en sécurité Kevin Beaumont a indiqué que l'exploitation a commencé à la mi-juin. L'une des adresses IP des attaquants était apparemment liée au groupe de ransomware RansomHub. Les données de GreyNoise ont indiqué 10 adresses IP malveillantes provenant de plusieurs pays, les États-Unis, la France, l'Allemagne, l'Inde et l'Italie étant les principales cibles. Citrix n'a pas confirmé d'activité d'exploitation dans ses avis officiels au 26 juin 2025.

Le risque de la vulnérabilité est élevé car les appareils affectés servent souvent de VPN ou de serveurs d'authentification. « Les jetons de session et d'autres données sensibles peuvent être exposés — ce qui pourrait permettre un accès non autorisé aux applications internes, aux VPN, aux réseaux de centres de données et aux réseaux internes, » selon Akamai. Les experts avertissent que les attaquants pourraient obtenir un accès plus large aux réseaux d'entreprise en exploitant des appareils vulnérables et en se déplaçant vers d'autres systèmes internes.

CISA conseille à toutes les organisations de mettre à jour vers les versions corrigées de Citrix énumérées dans son avis du 17 juin, telles que la version 14.1-43.56 ou ultérieure. Après la mise à jour, les administrateurs doivent mettre fin à toutes les sessions actives pour invalider les jetons d'authentification volés. Les équipes de sécurité doivent examiner les journaux à la recherche d'activités inhabituelles sur les points de terminaison d'authentification, car cette faille peut permettre le vol de jetons et la répétition de sessions sans laisser de traces de logiciels malveillants standard.

Dans des incidents séparés, des attaquants exploitent une faille critique dans OSGeo GeoServer GeoTools (CVE-2024-36401, score CVSS : 9.8) pour installer des mineurs de pièces NetCat et XMRig en Corée du Sud. Une fois installés, ces mineurs utilisent les ressources système pour générer des cryptomonnaies, NetCat permettant d'autres actions malveillantes ou le vol de données.

Articles Précédents:

• Le Bitcoin atteint un record de 116 000 $ alors que le rallye pousse les marchés crypto vers le haut
• Les stablecoins dominent la DeFi, soulevant des questions sur les risques de centralisation
• Plasma Sets Vente de Token le 17 Juillet Avant le Mainnet, Nouvelles Stablecoins
• Le Royaume-Uni arrête quatre personnes dans de grandes cyberattaques au détail contre M&S, Co-op, Harrods
• SharpLink s'approche d'un record en tant que plus grand détenteur d'Ethereum d'entreprise

• Publicité -