ReliaQuest บริษัทด้านการรักษาความปลอดภัย คาดว่าช่องโหว่ใน NetScaler ADC และ Gateway ระดับ Critical ซึ่งมีชื่อว่า "Citrix Bleed 2" (CVE-2025-5777) อาจกำลังถูกนำไปใช้ในการโจมตี โดยพบว่ามีเซสชันที่น่าสงสัยเพิ่มขึ้นในอุปกรณ์ของ Citrix
Citrix Bleed 2 (CVE-2025-5777) ได้รับการตั้งชื่อโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ Kevin Beaumont เนื่องจากมีความคล้ายคลึงกับ Citrix Bleed ดั้งเดิม (CVE-2023-4966) ซึ่งเป็นช่องโหว่ out-of-bounds memory read ที่ทำให้ Hacker ที่ไม่ผ่านการยืนยันตัวตน สามารถเข้าถึงหน่วยความจำส่วนที่โดยปกติไม่ควรเข้าถึงได้ ทำให้ Hacker สามารถขโมย session tokens, credentials และข้อมูลสำคัญอื่น ๆ จากเกตเวย์ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต และ virtual servers ทำให้สามารถเข้าควบคุมเซสชันของผู้ใช้งาน และ Bypass การยืนยันตัวตนแบบ Multi-factor authentication (MFA) ได้
ที่ปรึกษาของ Citrix ยังยืนยันถึงความเสี่ยงนี้ โดยเตือนผู้ใช้ให้ยุติเซสชัน ICA และ PCoIP ทั้งหมดหลังจากติดตั้งการอัปเดตด้านความปลอดภัย เพื่อบล็อกการเข้าถึงเซสชันที่ถูกโจมตี
ช่องโหว่ Citrix Bleed 2 (CVE-2025-5777) ได้รับการรับการแก้ไขโดย Citrix เมื่อวันที่ 17 มิถุนายน 2025 โดยไม่มีรายงานว่าพบการโจมตี
อย่างไรก็ตาม Beaumont ได้เตือนเกี่ยวกับความเป็นไปได้สูงที่จะเกิดการโจมตีจากช่องโหว่ดังกล่าว ซึ่งความกังวลของนักวิจัยในขณะนี้ดูเหมือนจะสมเหตุสมผล เนื่องจาก ReliaQuest ระบุด้วยความมั่นใจระดับกลางว่า CVE-2025-5777 ถูกใช้ในการโจมตีแบบกำหนดเป้าหมายแล้ว
ข้อสรุปจากการสังเกตจากการโจมตีจริงที่พบเห็นเมื่อเร็ว ๆ นี้ :
- พบ Citrix web sessions ที่ถูกโจมตี ซึ่งมีการยืนยันตัวตนได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้ ซึ่งแสดงให้เห็นว่า Hacker สามารถ Bypass MFA โดยใช้ session tokens ที่ขโมยมา
- Hacker ใช้ Citrix session เดียวกันซ้ำกับทั้ง IP addresses ที่ปกติ และน่าสงสัย โดยโจมตีเซสชัน และ replay session จากต้นทางที่ไม่ได้รับอนุญาต
- LDAP queries เริ่มต้นหลังจากการเข้าถึงเครือข่าย แสดงให้เห็นว่า Hacker ได้ดำเนินการ Active Directory reconnaissance เพื่อแมป users, groups และ permissions
- มีอินสแตนซ์หลายรายการของ ADExplorerexe ที่ทำงานบนระบบต่าง ๆ ซึ่งแสดงให้เห็นถึงการ reconnaissance โดเมน และความพยายามในการเชื่อมต่อกับ domain controllers ต่าง ๆ
- Citrix sessions มีต้นทางมาจาก IP ของศูนย์ข้อมูลที่เกี่ยวข้องกับผู้ให้บริการ VPN เช่น DataCamp ซึ่งแสดงให้เห็นถึงการปกปิดเส้นทางของ Hacker ผ่านโครงสร้างพื้นฐานที่ไม่ระบุชื่อ
Citrix ได้แนะนำให้ผู้ใช้งานทำการอัปเกรดเป็นเวอร์ชัน 14.1-43.56+, 13.1-58.32+ หรือ 13.1-FIPS/NDcPP 13.1-37.235+ เพื่อแก้ไขช่องโหว่ และป้องกันการโจมตีจากช่องโหว่
หลังจากติดตั้งเฟิร์มแวร์เวอร์ชันล่าสุดแล้ว ผู้ดูแลระบบควรยุติ ICA and PCoIP sessions ที่ใช้งานอยู่ทั้งหมด เนื่องจากเซสชันเหล่านี้อาจถูกโจมตีไปแล้ว
โดยก่อนที่จะยุติเซสชันที่ใช้งานอยู่ ผู้ดูแลระบบควรตรวจสอบเซสชันเหล่านั้นเพื่อดูว่ามีกิจกรรมที่น่าสงสัยหรือไม่โดยใช้ show icaconnection แล้วใช้คำสั่ง NetScaler Gateway > PCoIP > Connections
หลังจากตรวจสอบเซสชันที่ใช้งานอยู่แล้ว ผู้ดูแลระบบสามารถยุติเซสชันได้โดยใช้คำสั่งเหล่านี้ :
kill icaconnection -all
kill pcoipconnection -all
หากไม่สามารถติดตั้งการอัปเดตด้านความปลอดภัยทันทีได้ ขอแนะนำให้จำกัดการเข้าถึง NetScaler จากภายนอกผ่าน ACL ของเครือข่ายหรือ firewall rules
ทั้งนี้จากการเผยแพร่ของ NetScaler ยังระบุว่ายังไม่พบสัญญาณใด ๆ ของการถูกโจมตีจากช่องโหว่ดังกล่าว
อย่างไรก็ตาม ช่องโหว่ Citrix อีกรายการหนึ่งหมายเลข CVE-2025-6543 ก็กำลังถูกใช้ในการโจมตีเพื่อก่อให้เกิด denial of service (DoS) บนอุปกรณ์ NetScaler
Citrix ระบุว่า ช่องโหว่นี้ และช่องโหว่ CVE-2025-5777 อยู่ในโมดูลเดียวกัน แต่เป็นช่องโหว่ที่แตกต่างกัน
ที่มา : bleepingcomputer
You must be logged in to post a comment.