CISA Confirma que a Vulnerabilidade Citrix Bleed 2 Está a Ser Ativamente Explorada

HomeNews* CISA adicionou uma vulnerabilidade crítica do Citrix NetScaler (CVE-2025-5777) ao seu Catálogo de Vulnerabilidades Conhecidas Exploitadas após a confirmação de ataques ativos.

• A vulnerabilidade, chamada "Citrix Bleed 2", permite a bypass de autenticação e leituras excessivas de memória, levando à possível exposição de dados sensíveis.
• Pesquisadores de segurança e fornecedores relataram a exploração contínua por atacantes, apesar de a Citrix ainda não ter atualizado seus próprios avisos.
• Os atacantes visam dispositivos de rede críticos, colocando as redes empresariais em risco, enquanto a CISA recomenda a aplicação imediata de patches e a terminação forçada de sessões.
• Outras vulnerabilidades, como a CVE-2024-36401 no GeoServer, também estão a ser utilizadas em ataques, incluindo a implementação de Malware de mineração de criptomoeda. Em 10 de julho de 2025, a Agência de Segurança Cibernética e Segurança de Infraestrutura dos EUA (CISA) adicionou uma falha de segurança crítica que afeta o Citrix NetScaler ADC e Gateway ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV). Esta ação confirma que a vulnerabilidade, identificada como CVE-2025-5777, está sendo utilizada em ciberataques ativos.

• Anúncio - CVE-2025-5777, também conhecido como “Citrix Bleed 2,” possui uma pontuação CVSS de 9.3. A vulnerabilidade existe devido à validação insuficiente de entradas. Quando explorada, permite que atacantes contornem a autenticação em sistemas configurados como um Gateway ou servidor virtual AAA. Este problema causa uma leitura excessiva de memória, potencialmente revelando informações sensíveis.

Um relatório do pesquisador de segurança Kevin Beaumont afirmou que a exploração começou em meados de junho. Um dos endereços IP dos atacantes estaria ligado ao grupo de Ransomware RansomHub. Dados do GreyNoise indicaram 10 endereços IP maliciosos de vários países, com os Estados Unidos, França, Alemanha, Índia e Itália como principais alvos. Citrix não confirmou atividade de exploração em seus avisos oficiais até 26 de junho de 2025.

O risco da vulnerabilidade é alto porque os dispositivos afetados costumam servir como VPNs ou servidores de autenticação. “Os tokens de sessão e outros dados sensíveis podem ser expostos — potencialmente permitindo o acesso não autorizado a aplicações internas, VPNs, redes de data centers e redes internas,” de acordo com a Akamai. Especialistas alertam que os atacantes podem obter um acesso mais amplo às redes corporativas explorando aparelhos vulneráveis e fazendo pivot para outros sistemas internos.

A CISA aconselha todas as organizações a atualizarem para as versões corrigidas da Citrix listadas no seu aviso de 17 de junho, como a versão 14.1-43.56 ou posterior. Após a correção, os administradores devem encerrar todas as sessões ativas para invalidar quaisquer tokens de autenticação roubados. As equipas de segurança devem rever os registos em busca de atividades incomuns nos pontos de autenticação, uma vez que esta falha pode permitir o roubo de tokens e a reprodução de sessões sem deixar vestígios de malware padrão.

Em incidentes separados, atacantes estão explorando uma falha crítica no OSGeo GeoServer GeoTools (CVE-2024-36401, pontuação CVSS: 9.8) para instalar mineradores de moeda NetCat e XMRig na Coreia do Sul. Uma vez instalados, esses mineradores usam recursos do sistema para gerar criptomoeda, com o NetCat permitindo ações maliciosas adicionais ou roubo de dados.

Artigos Anteriores:

• O Bitcoin atinge um recorde de 116.000 $ à medida que o rali eleva os mercados de criptomoedas.
• As Stablecoins Dominam o DeFi, Levantando Questões sobre os Riscos de Centralização
• Venda de Tokens da Plasma Sets a 17 de Julho antes da Mainnet, Novas Stablecoins
• Reino Unido prende quatro em grandes ataques cibernéticos ao retalho na M&S, Co-op, Harrods
• SharpLink aproxima-se do recorde como o maior detentor corporativo de Ethereum

• Anúncio -