L’équipe de recherche sur les menaces de ReliaQuest a publié une analyse détaillée sur une nouvelle vulnérabilité critique, CVE-2025-5777, surnommée ‘Citrix Bleed 2’. Cette faille affecte les dispositifs NetScaler ADC et Gateway de Citrix, permettant aux attaquants de détourner des sessions utilisateur et de contourner les mécanismes d’authentification, y compris l’authentification multifacteur (MFA).
Bien qu’il n’y ait pas encore de rapports publics d’exploitation, ReliaQuest a observé des indicateurs d’activités malveillantes suggérant que des attaquants exploitent cette vulnérabilité pour obtenir un accès initial. Les signes incluent le détournement de sessions web Citrix, des requêtes LDAP suspectes, et l’utilisation d’outils de reconnaissance comme ‘ADExplorer64.exe’.
La vulnérabilité ‘Citrix Bleed 2’ est une évolution de la faille ‘Citrix Bleed’ de 2023, qui avait causé des perturbations majeures en permettant l’extraction de cookies de session. Cette nouvelle version permet l’extraction de jetons de session, ce qui pourrait prolonger l’accès non autorisé même après la fermeture des sessions utilisateur.
Citrix a publié des correctifs pour les versions affectées et recommande de mettre à jour immédiatement les systèmes. Cet article de publication de recherche vise à informer les organisations sur les risques et les mesures de mitigation nécessaires pour protéger leurs infrastructures.
🧠 TTP détectés
TTP
Initial Access via session hijacking and bypassing authentication mechanisms, including MFA; Use of reconnaissance tools like ADExplorer64.exe; LDAP queries for suspicious activity.
🔗 Source originale : https://reliaquest.com/blog/threat-spotlight-citrix-bleed-2-vulnerability-in-netscaler-adc-gateway-devices/