CISA предупреждает об активной атаке на CitrixBleed 2

Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило предупреждение о критической уязвимости под названием CitrixBleed 2. Эта проблема официально занесена в каталог известных эксплуатируемых уязвимостей. Главным адресатом публикации стали американские федеральные гражданские ведомства (Federal Civilian Branch Agencies, FCEB), но CISA также обратилась к бизнесу: баг уже используют хакеры.

10 июля CISA добавила новую уязвимость — CVE-2025-5777. Её уровень опасности — 9,3 из 10, то есть речь идёт о критической угрозе. Уязвимость связана с недостаточной проверкой входящих данных и позволяет злоумышленникам получить доступ к памяти устройства Citrix NetScaler ADC и NetScaler Gateway, в частности, к сессионным токенам, паролям и другим личным данным — для этого не требуется даже авторизация. Под угрозой версии NetScaler ADC 14.1 и ниже до 47.46, а также NetScaler Gateway с версии 13.1 и ниже до 59.19.

Специалисты сразу же окрестили баг CitrixBleed 2 из-за его сходства с предыдущей, очень похожей дырой Citrix. Уязвимость впервые нашли в июне 2025 года, а к июлю уже появились факты, что её начали использовать в реальных атаках.

Citrix выпустила заплатку (патч) для устранения проблемы, но большинство устройств пока не обновлено — киберпреступники используют момент.

Исследователи безопасности ReliaQuest, watchTowr, Horizon3.ai и другие сообщили о широких атаках по всему миру. Компания Akamai зафиксировала «резкий всплеск» сканирования устройств в поисках уязвимых экземпляров NetScaler. Теперь CISA тоже подтверждает: атаки идут уже сейчас.

В занимательный момент превратились и сроки на исправление: обычно ведомствам дают три недели, но на этот раз американским госорганам пришлось обновить всё за 24 часа. Такая спешка говорит сама за себя.

Citrix прямым текстом не признала, что баг уже эксплуатируют, но настаивает на немедленном обновлении всех систем.