Нещодавно виявлено критичну вразливість у продуктах Citrix, що дозволяє зловмисникам обходити багатофакторну аутентифікацію в мережевих пристроях. Ця вразливість, відома під іменем CVE-2025-5777, експлуатується вже більше місяця, попри запевнення Citrix про відсутність доказів активних атак.
Нагадаємо, що CVE-2025-5777 схожа на попередню вразливість CitrixBleed (CVE-2023-4966), яка призвела до зламу 20,000 пристроїв Citrix два роки тому. Серед постраждалих були такі компанії, як Boeing, DP World, Комерційний банк Китаю та юридична фірма Allen & Overy. Зловмисники також отримали доступ до даних 36 мільйонів користувачів Xfinity через злом мережі Comcast.
Обидві вразливості, CVE-2025-5777 та CVE-2023-4966, знаходяться в контролерах Citrix NetScaler, які забезпечують балансування навантаження та одноразову аутентифікацію в підприємствах. Ця вразливість призводить до витоку частин пам’яті з вразливих пристроїв після отримання змінених запитів з Інтернету. Зловмисники можуть повторно надсилати ці запити, щоб відновити облікові дані.
Рейтинг небезпеки CitrixBleed 2 становить 9.2, тоді як оригінальна вразливість мала рейтинг 9.8. Citrix оголосила про нову вразливість і випустила патч 17 червня, але вже через дев’ять днів компанія стверджувала, що не має доказів експлуатації. Однак, дослідники виявили, що атаки почалися ще 23 червня, тобто до заяви Citrix.
Критика Citrix зростає: компанії, такі як watchTowr і Horizon3.ai, зазначають, що Citrix не надала достатньо інформації для виявлення атак на їхні мережі.