Neste artigo do blog Dolutech, trazemos uma análise completa sobre a vulnerabilidade CVE-2025-5777, conhecida como Citrix Bleed 2. Com uma gravidade crítica (CVSS 9.3) e exploração confirmada em ambientes reais, essa falha afeta diretamente os dispositivos NetScaler ADC e Gateway, exigindo uma resposta rápida e assertiva das equipes de segurança.
O que é o Citrix Bleed 2 (CVE-2025-5777)?
A vulnerabilidade CVE-2025-5777 é um erro de leitura fora dos limites de memória (out-of-bounds read) em dispositivos customer-managed NetScaler ADC e Gateway. Essa falha permite que invasores leiam regiões da memória onde estão armazenados tokens de autenticação, como os usados para autenticação com múltiplos fatores (MFA).
Com o acesso a esses tokens, um atacante pode sequestrar sessões ICA ou PCoIP autînticadas, sem interação adicional com o usuário. Essa capacidade de burlar autenticação multifator e acessar sessões administrativas torna o Citrix Bleed 2 especialmente perigoso.
Por que o nome “Bleed 2”?
O nome faz referência direta à falha Citrix Bleed original (CVE-2023-4966). Assim como a anterior, o Citrix Bleed 2 também permite a extração de dados sensíveis da memória do sistema, inclusive tokens de sessão. A diferença é que esta nova vulnerabilidade afeta principalmente a autenticação baseada em token, elevando o risco de comprometimento de forma mais silenciosa e direta.
Situação Atual: Exploração Confirmada
A vulnerabilidade já está sendo explorada ativamente, conforme relatado pela ReliaQuest, Tenable, Arctic Wolf e BleepingComputer. Foram observadas:
- Sessões de VPN reutilizadas entre IPs suspeitos e válidos;
- Consultas internas ao Active Directory via LDAP;
- Uso de ferramentas como
ADExplorer64.exepara reconhecimento da infraestrutura; - Conexões vindas de redes como DataCamp (VPN pública).
Esses indícios sugerem que a exploração é real, sofisticada e pode estar sendo utilizada para ataques direcionados.
Versões Afetadas
A Citrix informou que os seguintes produtos estão vulneráveis se estiverem nas versões abaixo:
- NetScaler ADC e Gateway 14.1 < 14.1-43.56
- NetScaler ADC e Gateway 13.1 < 13.1-58.32
- NetScaler ADC 13.1-FIPS < 13.1-37.235
- NetScaler ADC 12.1-FIPS < 12.1-55.328
Versões 12.1 e 13.0 estão fora de suporte (EOL) e permanecem vulneráveis sem previsão de correção.
Atualização e Mitigação
Atualização imediata:
A Citrix lançou as seguintes atualizações que corrigem o problema:
- 14.1-43.56 ou superior
- 13.1-58.32 ou superior
- 13.1-37.235 (FIPS/NDcPP)
- 12.1-55.328 (FIPS)
Após a atualização:
Recomenda-se forçar o encerramento de todas as sessões para mitigar o risco de tokens já comprometidos:
kill icaconnection --all
kill pcoipConnection --allMedidas adicionais:
- Restringir acesso ao ADC e Gateway com ACLs ou firewall;
- Monitorar conexões suspeitas e logs de autenticação;
- Implementar um WAF para bloquear requisições maliciosas.
Relação com CVE-2025-6543
Simultaneamente, foi descoberta a vulnerabilidade CVE-2025-6543, uma falha de estouro de buffer (buffer overflow) também em dispositivos NetScaler, permitindo DoS e possivelmente execução remota de código. Essa vulnerabilidade já foi confirmada como explorada como zero-day pela própria Citrix.
Apesar de serem falhas distintas, ambas exigem a aplicação dos patches mais recentes para garantir a segurança dos sistemas.
Exemplo Técnico Simplificado do Ataque
- O atacante envia uma requisição com payload que explora a falha de memória;
- A resposta do servidor vaza dados, incluindo tokens de sessão;
- O atacante utiliza esses tokens para se conectar diretamente ao sistema;
- A partir da sessão sequestrada, inicia exploração lateral via LDAP, mapeamento de rede e coleta de credenciais.
Conclusão
A vulnerabilidade Citrix Bleed 2 (CVE-2025-5777) representa uma das maiores ameaças recentes ao ambiente corporativo baseado em NetScaler ADC e Gateway. Com a confirmação de exploração ativa e a capacidade de burlar autenticação multifator, a resposta precisa ser rápida:
- Aplique os patches recomendados imediatamente;
- Revogue todas as sessões ativas após a atualização;
- Monitore sua infraestrutura com atenção redobrada.
A Dolutech recomenda que empresas afetadas tratem esse incidente com a mesma prioridade de um incidente crítico, realizando também auditoria de logs e revisão de acessos suspeitos.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
