CISA หน่วยงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ ยืนยันว่าช่องโหว่ CitrixBleed 2 (CVE-2025-5777) ใน Citrix NetScaler ADC และ Gateway กำลังถูกใช้โจมตีจริงแล้วในตอนนี้ และได้สั่งการให้หน่วยงานรัฐบาลกลางรีบดำเนินการอัปเดตแพตช์ภายใน 1 วัน
CISA เพิ่งบรรจุช่องโหว่นี้ลงในแคตตาล็อก KEV เมื่อวันที่ 10 กรกฎาคม 2025 และสั่งให้หน่วยงานรัฐบาลกลางเร่งดำเนินการแก้ไขภายในสิ้นวันที่ 11 กรกฎาคม เส้นตายที่กระชั้นชิดเช่นนี้ไม่เคยเกิดขึ้นมาก่อนนับตั้งแต่มีการจัดทำ KEV ซึ่งสะท้อนถึงความรุนแรงของการโจมตีที่อาศัยช่องโหว่นี้อย่างชัดเจน
CVE-2025-5777 เป็นช่องโหว่ด้านความปลอดภัยของหน่วยความจำ (ประเภท out-of-bounds memory read) ซึ่งสามารถทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถเข้าถึงข้อมูลในหน่วยความจำที่ควรถูกจำกัดได้
ช่องโหว่นี้ส่งผลกระทบกับอุปกรณ์ NetScaler ที่ตั้งค่าเป็น Gateway หรือ AAA virtual server ในเวอร์ชันก่อน 14.1-43.56, 13.1-58.32, 13.1-37.235-FIPS/NDcPP และ 2.1-55.328-FIPS โดย Citrix ได้ปล่อยอัปเดตเพื่อแก้ไขช่องโหว่นี้แล้วเมื่อวันที่ 17 มิถุนายนที่ผ่านมา
หลังจากนั้นหนึ่งสัปดาห์ นักวิจัยด้านความปลอดภัย Kevin Beaumont ได้เขียนบล็อกแจ้งเตือนถึงความร้ายแรงของช่องโหว่นี้ พร้อมแสดงให้เห็นถึงความเสี่ยงจากการถูกโจมตี และผลกระทบอย่างร้ายแรงหากไม่ได้ทำการอัปเดตแพตช์ โดย Beaumont เรียกช่องโหว่นี้ว่า ‘CitrixBleed 2’ เนื่องจากมีความคล้ายคลึงกับช่องโหว่ CitrixBleed (CVE-2023-4966) ซึ่งเคยถูกใช้โจมตีโดยกลุ่มอาชญากรไซเบอร์อย่างแพร่หลาย
ReliaQuest เป็นผู้แจ้งเตือนครั้งแรกเกี่ยวกับการถูกโจมตีช่องโหว่ CitrixBleed 2 เมื่อวันที่ 27 มิถุนายน ต่อมาในวันที่ 7 กรกฎาคม นักวิจัยจาก watchTowr และ Horizon3 ได้ปล่อย proof-of-concept exploits (PoCs) สำหรับ CVE-2025-5777 เพื่อแสดงให้เห็นว่าช่องโหว่นี้สามารถถูกใช้โจมตีเพื่อขโมยโทเค็นเซสชันของผู้ใช้ได้
แม้ในช่วงนั้นยังไม่มีหลักฐานชัดเจนว่าช่องโหว่นี้ถูกใช้โจมตีอย่างแพร่หลาย แต่ด้วยการที่มี PoCs ถูกปล่อยออกมา และช่องโหว่มีความง่ายต่อการโจมตี ทำให้คาดว่าจะใช้เวลาไม่นานก่อนที่ผู้โจมตีจะนำไปใช้ในวงกว้างมากขึ้น
ในช่วงสองสัปดาห์ที่ผ่านมา กลุ่มผู้ไม่หวังดีในฟอรัมแฮ็กเกอร์ มีการพูดคุย ทำงาน ทดสอบ และแลกเปลี่ยนความคิดเห็นเกี่ยวกับ proof-of-concept (PoCs) ของช่องโหว่ Citrix Bleed 2 อย่างเปิดเผย
พวกเขาให้ความสนใจวิธีการนำ exploits ที่มีอยู่ไปใช้ในการโจมตีจริง ซึ่งกิจกรรมเหล่านี้เพิ่มสูงขึ้นอย่างชัดเจนในช่วงไม่กี่วันที่ผ่านมา และ exploits หลายรายการสำหรับช่องโหว่นี้ได้ถูกเผยแพร่ออกมาแล้ว
เมื่อ CISA ยืนยันว่าช่องโหว่ CitrixBleed 2 กำลังถูกใช้โจมตีอย่างจริงจังในขณะนี้ มีความเป็นไปได้สูงว่ากลุ่มผู้ไม่หวังดีได้พัฒนา exploits ของตัวเองจากข้อมูลทางเทคนิคที่เผยแพร่เมื่อสัปดาห์ที่ผ่านมา
CISA เตือนให้ดำเนินการแก้ไขตามคำแนะนำของผู้ผลิต ปฏิบัติตามแนวทาง BOD 22-01 สำหรับบริการคลาวด์ หรือเลิกใช้ผลิตภัณฑ์หากไม่สามารถทำมาตรการแก้ไขได้
เพื่อป้องกันปัญหานี้ ผู้ใช้จึงควรอัปเกรดเฟิร์มแวร์เป็นเวอร์ชัน 14.1-43.56 ขึ้นไป 13.1-58.32 ขึ้นไป หรือ 13.1-FIPS/NDcPP 13.1-37.235 ขึ้นไปโดยเร่งด่วน
หลังจากอัปเดตแล้ว ผู้ดูแลระบบควรตัดการเชื่อมต่อเซสชัน ICA และ PCoIP ที่ยังคงใช้งานอยู่ทั้งหมด เนื่องจากเซสชันเหล่านี้อาจถูกบุกรุกแล้ว
ก่อนดำเนินการดังกล่าว ควรตรวจสอบเซสชันปัจจุบันเพื่อหาพฤติกรรมที่น่าสงสัย โดยใช้คำสั่ง ‘show icaconnection’ หรือผ่านทางเมนู NetScaler Gateway > PCoIP > Connections
จากนั้น ให้ยุติเซสชันด้วยคำสั่งดังต่อไปนี้:
- kill icaconnection -all
- kill pcoipconnection -all
หากไม่สามารถอัปเดตได้ทันที ควรจำกัดการเข้าถึง NetScaler จากภายนอกโดยใช้ Firewall Rules หรือ ACL แม้ว่าทาง CISA จะยืนยันว่าช่องโหว่นี้ถูกนำไปใช้โจมตีแล้ว แต่ Citrix ยังไม่ได้ปรับปรุงเอกสารประกาศความปลอดภัยฉบับเดิมที่เผยแพร่เมื่อวันที่ 27 มิถุนายน ซึ่งระบุว่า ยังไม่มีหลักฐานว่าช่องโหว่ CVE-2025-5777 ถูกโจมตีในวงกว้าง
ที่มา : bleepingcomputer
You must be logged in to post a comment.