Beveiligingsonderzoekers waarschuwen dat Citrix Bleed 2 mogelijk al actief wordt uitgebuit door hackers om toegang te krijgen tot bedrijfsnetwerken.
Beveiligingsonderzoekers van Reliaquest waarschuwen voor actief misbruik van CVE-2025-5777. Die bug dateert van 17 juni. Citrix heeft inmiddels een patch voorzien, maar dat betekent niet dat de update ook massaal is uitgerold. De kwetsbaarheid heeft het potentieel om een vervolg te worden op Citrix Bleed.
CVE-2025-5777 maakt het voor aanvallers mogelijk om via een out-of-bounds memory read sessietokens buit te maken. Hiermee kunnen ze multifactorauthenticatie omzeilen en gebruikerssessies kapen.
Aanwijzingen van misbruik
Hoewel er nog geen publiek bewijs is van breed misbruik, zegt ReliaQuest tekenen te zien die wijzen op actieve exploitatie. Zo werden Citrix-sessies gekaapt zonder dat gebruikers dit merkten. In sommige gevallen werd dezelfde sessie vanaf verschillende IP-adressen hergebruikt, wat op sessiediefstal wijst.
lees ook
Citrix-kwetsbaarheden roepen nare herinneringen op
Ook viel op dat er LDAP-queries werden uitgevoerd voor Active Directory-verkenning en dat tools zoals ‘ADExplorer64.exe’ op meerdere systemen opdoken. Aanvallen zouden deels via VPN-diensten verlopen, waardoor het lastiger is om de herkomst te achterhalen.
Dringend patchen
De situatie doet sterk denken aan de eerdere Citrix Bleed-kwetsbaarheid uit 2023. Die werd toen grootschalig misbruikt door ransomwaregroepen en spionagegroepen, vaak omdat systemen niet tijdig gepatcht waren.
Citrix adviseert organisaties dan ook om hun NetScaler ADC- en Gateway-apparaten direct te updaten naar de laatste versies. Ook moeten actieve sessies beëindigd worden om te voorkomen dat gestolen tokens toegang blijven geven. Versies 12.1 en 13.0 worden niet meer ondersteund en moeten vervangen worden door een recente versie.
ReliaQuest raadt bedrijven aan hun netwerklogs extra te controleren op verdachte sessies en ongebruikelijke HTTP-verzoeken. Net als bij de eerste Citrix Bleed kan een eenvoudige GET-request met abnormaal lange headers wijzen op een poging tot misbruik. Beperk daarnaast de toegang tot kwetsbare systemen via netwerkregels tot de updates zijn uitgevoerd.