2 godzin temu
Nowa luka w Citrix NetScaler — oznaczona jako CVE-2025-5777 i nieoficjalnie nazwana „Citrix Bleed 2” — stawia administratorów w niekomfortowej sytuacji. Mimo iż Citrix uspokajał, iż błąd nie jest aktywnie wykorzystywany, publikacja proof-of-concept i analiza logów sugerują coś odwrotnego.
Podatność pozwala na odczyt pamięci urządzenia dzięki prostych żądań POST. W praktyce oznacza to, iż przy każdej próbie można uzyskać drobny wyciek danych — 127 bajtów — ale poprzez powtarzane żądania możliwe jest odzyskanie cennych informacji, w tym danych logowania lub tokenów sesyjnych. To dokładnie ta kategoria błędów, która w złych rękach przeradza się w poważne incydenty bezpieczeństwa.
Choć Citrix zapewniał, iż nie ma dowodów na aktywne wykorzystanie podatności, badacze z branży security wskazują, iż można je znaleźć w logach urządzeń. A historia — i wcześniejsza luka Citrix Bleed z 2023 roku — pokazuje, iż zwlekanie z reakcją może mieć wysoką cenę. Poprzedni błąd również został początkowo zbagatelizowany, a skończyło się masowymi atakami ransomware i wyciekiem danych z firm, które nie wdrożyły poprawek na czas.
Citrix wydał już aktualizacje łatające CVE-2025-5777 i zaleca nie tylko ich natychmiastową instalację, ale także manualne zakończenie aktywnych sesji, które mogłyby zostać przejęte. To środek ostrożności, który może zminimalizować skutki ewentualnego wycieku.
Incydent stawia pytanie o poziom zaufania do oświadczeń producentów i ponownie pokazuje, iż „brak dowodów” to nie to samo, co „brak ataków”. Dla zespołów bezpieczeństwa to sygnał, iż każda luka — choćby oficjalnie „nieaktywnie wykorzystywana” — powinna być traktowana priorytetowo.
Wnioski? Reagowanie w oparciu o PR to zła strategia bezpieczeństwa. Citrix Bleed 2 może nie być powtórką z 2023 roku, ale tylko pod warunkiem, iż administratorzy zareagują szybko, a nie tylko wtedy, gdy pojawi się pierwsza ofiara.
