Les chercheurs en sécurité avertissent que Citrix Bleed 2 pourrait déjà être activement exploité par des pirates pour accéder aux réseaux d’entreprise.
Les chercheurs en sécurité de Reliaquest mettent en garde contre l’exploitation active de CVE-2025-5777. Cette faille date du 17 juin. Citrix a depuis fourni un correctif, mais cela ne signifie pas que la mise à jour a été largement déployée. La vulnérabilité a le potentiel de devenir une suite à Citrix Bleed.
CVE-2025-5777 permet aux attaquants de voler des jetons de session via une lecture de mémoire hors limites. Ils peuvent ainsi contourner l’authentification multifacteur et détourner les sessions des utilisateurs.
Indices d’exploitation
Bien qu’il n’y ait pas encore de preuve publique d’une exploitation généralisée, ReliaQuest affirme voir des signes indiquant une exploitation active. Par exemple, des sessions Citrix ont été détournées à l’insu des utilisateurs. Dans certains cas, la même session a été réutilisée à partir de différentes adresses IP, ce qui indique un vol de session.
lire aussi
Les vulnérabilités de Citrix évoquent de pénibles souvenirs
Il a également été remarqué que des requêtes LDAP étaient exécutées pour la reconnaissance d’Active Directory et que des outils tels que « ADExplorer64.exe » apparaissaient sur plusieurs systèmes. Les attaques seraient en partie menées via des services VPN, ce qui rend plus difficile l’identification de leur origine.
Correction urgente
La situation rappelle fortement la vulnérabilité Citrix Bleed précédente de 2023. Celle-ci avait alors été largement exploitée par des groupes de ransomware et d’espionnage, souvent parce que les systèmes n’avaient pas été corrigés à temps.
Citrix conseille donc aux organisations de mettre immédiatement à jour leurs appareils NetScaler ADC et Gateway vers les dernières versions. Les sessions actives doivent également être terminées pour empêcher que les jetons volés ne continuent à donner accès. Les versions 12.1 et 13.0 ne sont plus prises en charge et doivent être remplacées par une version récente.
ReliaQuest recommande aux entreprises de vérifier plus attentivement leurs journaux réseau pour détecter les sessions suspectes et les requêtes HTTP inhabituelles. Comme pour le premier Citrix Bleed, une simple requête GET avec des en-têtes anormalement longs peut indiquer une tentative d’exploitation. De plus, limitez l’accès aux systèmes vulnérables via des règles réseau jusqu’à ce que les mises à jour soient effectuées.