Un nuovo incubo per la cybersicurezza: la vulnerabilità Citrix Bleed 2 (CVE-2025-5777) colpisce i dispositivi NetScaler Gateway e ADC. Gli exploit sono già online e i bersagli includono pubbliche amministrazioni, banche e aziende italiane. Continua a leggere per sapere cosa sta succedendo e come difendersi.
Citrix Bleed 2 è il nome dato a una nuova vulnerabilità, identificata come CVE-2025-5777, che colpisce i dispositivi NetScaler Gateway e ADC. È stata chiamata così perché ricorda la famigerata falla del 2023 (CVE-2023-4966), ampiamente sfruttata da cybercriminali e gruppi APT per rubare cookie di sessione e dati utente.
Come allora, anche oggi il rischio principale riguarda l’accesso non autorizzato alla memoria del dispositivo.
Il bug consente di inviare richieste malformate durante la fase di login, e ottenere così dati riservati direttamente dalla RAM. Non serve autenticarsi, né usare tecniche sofisticate: basta una semplice richiesta manipolata per estrarre informazioni sensibili, come token di sessione attivi. In mani sbagliate, questi token possono consentire a un attaccante di impersonare un utente legittimo, accedere a servizi protetti o esfiltrare dati riservati da un sistema apparentemente sicuro.
Il funzionamento di Citrix Bleed 2 si basa su un errore nella gestione delle stringhe all’interno del codice Citrix. In particolare, il bug nasce dall’utilizzo errato della funzione snprintf in combinazione con il modificatore %.*s, che causa una lettura fuori dai limiti (out-of-bounds read) della memoria del sistema.
Un attaccante può sfruttare questa falla inviando una richiesta POST malformata, ad esempio con un parametro login= incompleto o vuoto. Il dispositivo vulnerabile risponde includendo nella risposta porzioni della propria memoria, fino al primo byte nullo. Ogni richiesta permette di leggere circa 127 byte di dati, ma effettuandone molte in sequenza è possibile ricostruire informazioni più complesse come token di sessione, dati utente e frammenti di configurazione.
A rendere ancora più grave la situazione è la semplicità dell’attacco: non serve essere esperti per replicarlo, e sono già disponibili Proof-of-Concept (PoC) pubblici su GitHub e forum underground. Questo rende la finestra di esposizione estremamente ampia e il rischio concreto, non teorico.
Secondo l’ultimo bollettino del CERT-AgID, almeno 70 sistemi esposti e vulnerabili a Citrix Bleed 2 risultano attivi in Italia. Si tratta di dispositivi appartenenti a istituzioni bancarie, compagnie assicurative, enti pubblici e grandi aziende. In molti casi, questi sistemi fungono da gateway per reti interne o come punti di accesso per utenti remoti, rendendoli obiettivi particolarmente sensibili.
Una vulnerabilità che permette la lettura della memoria in questi contesti può significare accesso completo alle credenziali, dirottamento di sessioni, furto di documenti e violazioni del GDPR. Non solo: gli attacchi possono essere automatizzati e distribuiti su larga scala, sfruttando strumenti open source per la scansione e lo sfruttamento delle falle, con un impatto potenzialmente catastrofico sulla continuità operativa e sulla fiducia degli utenti.
Ogni giorno di ritardo nell’applicazione della patch espone reti strategiche a intercettazioni silenziose e persistenti.
Nonostante la gravità della vulnerabilità, la gestione della crisi da parte di Citrix sta sollevando forti critiche. In prima linea c’è Kevin Beaumont, ricercatore di sicurezza tra i più autorevoli a livello internazionale, che ha dichiarato pubblicamente che gli attacchi attivi sono in corso da metà giugno, ben prima della pubblicazione ufficiale delle patch.
Beaumont accusa Citrix di minimizzare l’impatto e di non fornire indicatori di compromissione (IoC) utili per rilevare eventuali intrusioni. Una situazione simile si era già verificata con la precedente vulnerabilità Citrix Bleed del 2023, anche in quel caso gestita con scarsa trasparenza.
Anche i team di Horizon3.ai e watchTowr hanno pubblicato analisi tecniche indipendenti, confermando la possibilità concreta di sfruttare il bug per accedere a dati sensibili. Horizon3 è riuscita a rubare token di sessione in laboratorio, mentre watchTowr ha osservato un impatto simile ma non replicabile in tutti gli scenari. Il consenso tra gli esperti, tuttavia, è chiaro: la falla è reale, attivamente sfruttata e sottovalutata.
Di fronte a una vulnerabilità come Citrix Bleed 2, il tempo è un fattore critico. La prima azione da compiere è aggiornare immediatamente i dispositivi NetScaler ADC e Gateway con le patch ufficiali rilasciate da Citrix. Ma questo non basta.
Gli amministratori devono terminare tutte le sessioni ICA e PCoIP attive per impedire l’abuso di token già intercettati. È inoltre essenziale monitorare i log per individuare accessi anomali o richieste sospette, adottando meccanismi di allerta in tempo reale.
Tra le contromisure consigliate:
La lezione è chiara: anche infrastrutture considerate robuste possono cedere di fronte a un exploit ben congegnato.
Non aspettare che sia troppo tardi. Sito Web Sicuro ti offre una valutazione gratuita del tuo livello di esposizione alle vulnerabilità Citrix.
Contattaci oggi stesso per mettere al sicuro la tua infrastruttura. La sicurezza non può più aspettare.
Fonte: RedHotCyber.com
