L’article publié par watchTowr Labs met en lumière une nouvelle vulnérabilité critique affectant les dispositifs Citrix NetScaler, identifiée comme CitrixBleed 2 (CVE-2025-5777). Cette vulnérabilité permet une fuite de mémoire due à une validation insuffisante des entrées, particulièrement lorsque le NetScaler est configuré comme Gateway ou AAA virtual server.
La vulnérabilité est similaire à une précédente faille, CitrixBleed (CVE-2023-4966), qui avait permis la divulgation de mémoire et le détournement de sessions d’accès à distance. Malgré l’exploitation active de cette nouvelle faille, de nombreux utilisateurs n’ont pas encore appliqué les correctifs nécessaires.
L’analyse technique révèle que la faille réside dans la mauvaise gestion des variables non initialisées dans le code backend, ce qui entraîne la fuite de données résiduelles en mémoire. Les chercheurs ont pu démontrer cette fuite en envoyant des requêtes HTTP spécifiques qui exposent des données sensibles.
Les indicateurs de compromission (IoCs) incluent des réponses HTTP contenant des balises <InitialValue> avec des données inattendues. Aucune information critique comme des cookies ou mots de passe n’a été trouvée lors des tests, mais la nature non déterministe de la fuite laisse cette possibilité ouverte.
Cet article est une analyse technique visant à informer sur la vulnérabilité et à encourager l’application rapide des correctifs pour prévenir des compromissions potentielles.
🧠 TTPs et IOCs détectés
TTP
Exploitation de la vulnérabilité (T1203), Fuite de mémoire (T1600)
IOC
Réponses HTTP contenant des balises
🔗 Source originale : https://labs.watchtowr.com/how-much-more-must-we-bleed-citrix-netscaler-memory-disclosure-citrixbleed-2-cve-2025-5777/