Lỗ hổng bảo mật trong các thiết bị Citrix NetScaler, dấy lên hồi chuông cảnh báo mới cho cộng đồng an ninh mạng toàn cầu. Được đặt tên "CitrixBleed 2" (CVE-2025-5777), lỗ hổng này gợi lại ký ức đau buốt về thảm họa CitrixBleed năm 2023 - cuộc tấn công từng khiến nhiều tập đoàn lớn như: Boeing, Comcast phải điêu đứng, ảnh hưởng đến hàng chục triệu người dùng.
Trong tháng 6/2025, Citrix đã phát hành liên tiếp hai bản vá khẩn cấp để xử lý hai lỗ hổng nghiêm trọng trên dòng sản phẩm NetScaler ADC và NetScaler Gateway - nền tảng quan trọng được sử dụng phổ biến để triển khai VPN, truy cập từ xa, xác thực trung tâm trong nhiều doanh nghiệp và tổ chức. Citrix Bleed 2 là 1 trong những lỗ hổng đó.
CVE‑2025‑5777 - "Citrix Bleed 2": Với mức độ nghiêm trọng 9,3/10 theo thang CVSS, lỗ hổng này đang bị nghi ngờ là đã bắt đầu bị khai thác ngoài thực tế. Nếu không được xử lý kịp thời, hậu quả có thể lặp lại hoặc tệ hơn. Là một lỗ hổng rò rỉ bộ nhớ (memory leak) nghiêm trọng trong NetScaler ADC và NetScaler Gateway - hai sản phẩm chủ lực của Citrix được sử dụng rộng rãi trong các tổ chức để truy cập từ xa (remote access).
Trong tháng 6/2025, Citrix đã phát hành liên tiếp hai bản vá khẩn cấp để xử lý hai lỗ hổng nghiêm trọng trên dòng sản phẩm NetScaler ADC và NetScaler Gateway - nền tảng quan trọng được sử dụng phổ biến để triển khai VPN, truy cập từ xa, xác thực trung tâm trong nhiều doanh nghiệp và tổ chức. Citrix Bleed 2 là 1 trong những lỗ hổng đó.
CVE‑2025‑5777 - "Citrix Bleed 2": Với mức độ nghiêm trọng 9,3/10 theo thang CVSS, lỗ hổng này đang bị nghi ngờ là đã bắt đầu bị khai thác ngoài thực tế. Nếu không được xử lý kịp thời, hậu quả có thể lặp lại hoặc tệ hơn. Là một lỗ hổng rò rỉ bộ nhớ (memory leak) nghiêm trọng trong NetScaler ADC và NetScaler Gateway - hai sản phẩm chủ lực của Citrix được sử dụng rộng rãi trong các tổ chức để truy cập từ xa (remote access).
Lỗi này xảy ra khi các thiết bị xử lý yêu cầu xác thực (authentication request) nhưng lại không kiểm soát chặt chẽ các đầu vào. Kết quả là hệ thống trả về dữ liệu chưa được khởi tạo trong bộ nhớ, có thể bao gồm mã phiên (session token), thông tin xác thực, thậm chí cả dữ liệu nhạy cảm khác, tất cả đều có thể bị kẻ tấn công thu thập.
Theo chuyên gia bảo mật, ước chừng có hơn 50.000 thiết bị NetScaler có khả năng dễ bị tấn công đang kết nối internet. Trước đó, tổ chức Shadowserver cũng phát hiện hơn 1.200 thiết bị chưa được vá tính đến cuối tháng 6/2025, bất chấp Citrix đã phát hành bản vá vào ngày 17/6/2025.
Lỗi ảnh hưởng đến các thiết bị chạy hệ điều hành:
- NetScaler ADC / Gateway phiên bản từ 13.1 trở lên
- Các phiên bản cũ hơn (12.1, 13.0) không còn được hỗ trợ, nên bắt buộc phải nâng cấp hệ thống để được bảo vệ.
Kẻ tấn công chỉ cần gửi một HTTP POST request với tham số đăng nhập bị lỗi hoặc không hợp lệ đến đường dẫn "/p/u/doAuthentication.do". Điều này khiến hệ thống xử lý xác thực không khởi tạo đúng biến bộ nhớ và vô tình trả lại thông tin nhạy cảm còn sót lại trong bộ nhớ RAM.
Đây là ví dụ điển hình của lỗ hổng CWE-457: Sử dụng biến chưa khởi tạo - một sai sót phổ biến trong ngôn ngữ lập trình C vốn rất nhạy cảm về quản lý bộ nhớ. Các chuyên gia gọi đây là một lỗi "C-language mischief" - sự nghịch ngợm chết người của ngôn ngữ lập trình C khi không kiểm tra kỹ bộ nhớ.
Hiện đã có dấu hiệu cho thấy lỗ hổng đang bị khai thác ngoài thực tế:
Đây là ví dụ điển hình của lỗ hổng CWE-457: Sử dụng biến chưa khởi tạo - một sai sót phổ biến trong ngôn ngữ lập trình C vốn rất nhạy cảm về quản lý bộ nhớ. Các chuyên gia gọi đây là một lỗi "C-language mischief" - sự nghịch ngợm chết người của ngôn ngữ lập trình C khi không kiểm tra kỹ bộ nhớ.
Hiện đã có dấu hiệu cho thấy lỗ hổng đang bị khai thác ngoài thực tế:
- Các phiên đăng nhập Citrix bất thường (người dùng không hề biết mình đã đăng nhập)
- Bỏ qua xác thực đa yếu tố (MFA bypass)
- Các hoạt động nội gián như:
- Truy vấn LDAP bất thường tìm kiếm thông tin Active Directory
- Cài đặt công cụ ADExplorer64.exe để thu thập thông tin người dùng & máy tính nội bộ
- Dấu hiệu tấn công trinh sát sau xâm nhập (post-exploitation)
- Sử dụng VPN thương mại để che giấu hành vi
Những biểu hiện này cho thấy các nhóm hacker đã và đang tận dụng lỗ hổng để mở rộng quyền truy cập trong hệ thống bị xâm nhập.
Citrix đã phát hành bản vá ngày 17/6/2025 cho các phiên bản đang được hỗ trợ. Nếu bạn hoặc tổ chức của bạn đang sử dụng Citrix NetScaler, hãy hành động ngay:
Citrix đã phát hành bản vá ngày 17/6/2025 cho các phiên bản đang được hỗ trợ. Nếu bạn hoặc tổ chức của bạn đang sử dụng Citrix NetScaler, hãy hành động ngay:
- Cập nhật ngay bản vá mới nhất từ Citrix.
- Chấm dứt toàn bộ phiên ICA và PCoIP đang hoạt động sau khi cập nhật để tránh bị chiếm quyền sử dụng phiên cũ.
- Giám sát mạng và nhật ký hệ thống, tìm kiếm:
- Phiên đăng nhập bất thường
- Truy vấn LDAP đáng ngờ
- Hoạt động từ IP sử dụng VPN công cộng
- Gỡ bỏ các phiên bản không còn được hỗ trợ (EOL) như 12.1, 13.0 - vì chúng không có bản vá bảo mật.
"CitrixBleed 2" không chỉ là một lỗ hổng, nó còn là hồi chuông cảnh báo về sự lặp lại của sai lầm quá khứ. Với sự phổ biến của NetScaler trong các môi trường doanh nghiệp, lỗ hổng này có thể trở thành công cụ đắc lực trong tay tin tặc để xâm nhập, chiếm quyền điều khiển hệ thống, đánh cắp dữ liệu.
Đừng để đến khi tổn thất xảy ra mới hành động. Hãy cập nhật ngay hôm nay!
Đừng để đến khi tổn thất xảy ra mới hành động. Hãy cập nhật ngay hôm nay!
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview