CitrixBleed 2 (CVE-2025-5777)
- Loïc Castel
- 9 juil.
- 3 min de lecture
CitrixBleed 2 : vérifier votre exposition, comprendre les risques et agir
CitrixBleed 2, référencée CVE-2025-5777, est une vulnérabilité critique de divulgation de mémoire affectant les appliances Citrix NetScaler ADC et Gateway configurées en mode Gateway ou AAA.
Exploitable sans authentification, la faille permet à un attaquant de lire des portions de mémoire et de dérober des jetons de session valides, ouvrant la voie au détournement de sessions VPN et au contournement MFA.
Malgré la publication de correctifs, des milliers d’instances restent exposées et l’exploitation s’accélère.
La référence au nom provient de la faille CitrixBleed (CVE-2023-4966) qui a marqué 2023 : elle permettait la fuite de cookies de session, détournement de sessions HTTP et a engendré des campagnes de ransomware massives.
Comment savoir si votre NetScaler est vulnérable ?
Vérifiez la build avec :show version (CLI) ou « System > Diagnostics > Version » (GUI).
Signes d’exploitation possibles dans les journaux :
Requêtes répétées vers /p/u/doAuthentication.do avec Content-Length: 5 et corps login.
Valeurs anormales ou binaire dans le champ <InitialValue> des réponses.
Jeton de session utilisé quasi simultanément depuis plusieurs adresses IP.
Pour un test rapide, les chercheurs de watchTowr ont publié un script de détection sans PoC destructif :
Un template Nuclei a également été créé à cet effet :
Quel est l’impact ?
Une requête malformée fait fuir ≈ 127 octets de mémoire à chaque appel ; en boucle, l’attaquant peut extraire :
Jetons de session AAA ou STA
Cookies d’administrateur (nsroot)
Informations d’identification en clair selon l’activité du système
Ces artefacts suffisent à :
Détourner des sessions VPN actives, contournant le MFA
Pivoter vers l’Active Directory ou d’autres segments internes
Exploitation en cours – quelques exemples
ReliaQuest observe, dès le 26 juin, des sessions Citrix détournées et des requêtes LDAP malveillantes ayant pour source des appliances NetScaler vulnérables
Kevin Beaumont rapporte des scans et vols de sessions « depuis la mi-juin » ; certaines adresses IP sont liées au groupe ransomware RansomHub
Le 8 juillet, plusieurs PoC publics sont publiés, déclenchant une vague de tentatives automatisées repérées par BleepingComputer et GreyNoise
L’ANSSI/CERT-FR classe la faille en exploitation active et appelle aux correctifs immédiats
Recommandations prioritaires et conclusions
Appliquer le correctif officiel le plus récent (voir tableau) ou migrer hors versions EoL
Purger toutes les sessions actives après mise à jour :
kill icaconnection -all, kill pcoipconnection -all Rechercher les IoC : filtrer les logs pour login sans = et pour des tokens réutilisés par plusieurs IP
Bloquer temporairement les requêtes POST contenant uniquement login via WAF ou reverse proxy
Restreindre l’accès à l’interface d’administration et segmenter le NetScaler dans un VLAN dédié
Mettre en place une surveillance continue (règle Sigma « Possible CitrixBleed 2 Exploitation Attempt ») disponible pour 16 SIEM
Évaluer la migration vers un accès Zero Trust afin de limiter la confiance accordée aux passerelles périmétriques telles que Citrix
La simplicité d’exploitation et la valeur des jetons volés font de CitrixBleed 2 une menace immédiate. CitrixBleed 2 amplifie la menace posée par les appliances d’accès distants mal entretenues. Sa simplicité d’exploitation, le caractère silencieux de la fuite mémoire et la valeur des jetons AAA dérobés en font une cible privilégiée des APT comme des cybercriminels opportunistes.
Patchez, vérifiez vos journaux et révoquez les sessions pour éviter qu’une vulnérabilité déjà exploitée n’ouvre la porte à de nouvelles compromissions.
Vous pouvez également souscrire aux services Safercy, notamment :
