CVE-2025-5777 (« CitrixBleed 2 ») : faille critique sur Citrix NetScaler ADC/Gateway

1 juillet 2025 par
CVE-2025-5777 (« CitrixBleed 2 ») : faille critique sur Citrix NetScaler ADC/Gateway
Lionel Loncin
| Aucun commentaire pour l'instant

Résumé de la faille – CVE-2025-5777, surnommée « CitrixBleed 2 », est une vulnérabilité critique d’« out-of-bounds read » (lecture mémoire hors limite) dans les appliances Citrix NetScaler ADC/Gateway. Elle résulte d’une validation insuffisante des entrées menant à une lecture arbitraire de la mémoire vive (nvd.nist.gov, tenable.com). Un attaquant distant non authentifié peut forcer la récupération de données sensibles (tokens de session, cookies Citrix, etc.) directement en mémoire, sans contrôles d’accès (tenable.comcomputerweekly.com). Cette faille permet de contourner les mécanismes d’authentification, y compris la MFA, et de prendre le contrôle d’une session active. Citrix lui a attribué un score CVSS v4.0 de 9.3/10 (Critique) (support.citrix.com).

Contexte technique et fonctionnel

CVE-2025-5777 affecte spécifiquement les appliances Citrix NetScaler ADC (anciennement Citrix ADC) et Citrix NetScaler Gateway (anciennement Citrix Gateway). Les versions concernées sont celles antérieures aux builds corrigés : par exemple, NetScaler ADC/Gateway 14.1 jusqu’à la version 14.1-47.46, 13.1 jusqu’à 13.1-59.19, 13.1-FIPS jusqu’à 13.1-37.236, etc. (cyber.gc.ca). Les versions 12.1 et 13.0 étant en fin de vie (EOL), elles demeurent vulnérables (aucun correctif disponible) (cyber.gc.ca).

La vulnérabilité ne s’active que si NetScaler est configuré comme passerelle d’accès (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) ou comme serveur AAA d’authentification (cyber.gc.ca). En d’autres termes, seuls les dispositifs exposant des fonctions VPN/ICA/RDP ou AAA sont touchés. Si votre NetScaler sert uniquement de load balancer ou n’offre pas de passerelle VPN, la faille ne s’applique pas. Ce prérequis (configuration Gateway/AAA) est identique à celui de la vulnérabilité Citrix Bleed originale (CVE-2023-4966) (cyber.gc.ca, rapid7.com).

Les Citrix NetScaler sont couramment utilisés dans les entreprises pour fournir un accès distant sécurisé et répartir la charge applicative. De nombreuses organisations (finance, santé, administrations, industries critiques, etc.) exposent leur appliance NetScaler sur Internet afin de desservir des utilisateurs distants. Selon des analyses de scans (par ex. Censys), des dizaines de milliers d’instances NetScaler sont accessibles en ligne (majoritairement aux États-Unis et en Europe) (helpnetsecurity.com). Même si une grande partie a été mise à jour, plusieurs centaines restent vulnérables. Cela signifie qu’un attaquant externe peut viser directement ces appliances par Internet.

Analyse technique de la vulnérabilité

La cause racine de CVE-2025-5777 est une validation insuffisante des données d’entrée dans les modules de passerelle VPN/AAA du firmware NetScaler (support.citrix.com). Concrètement, un traitement interne lit au-delà des limites prévues d’une zone mémoire, entraînant une fuite de données (lecture hors bornes, CWE-125) (nvd.nist.gov, tenable.com). Ce out-of-bounds read n’engendre pas d’exécution de code arbitraire, mais il permet à l’attaquant de consulter des fragments mémoire non autorisés. Parmi ces fragments figurent des jetons de session ou cookies d’authentification en cours, stockés en mémoire pour les sessions actives.

Le vecteur d’exploitation est simple : l’attaquant envoie des requêtes spécialement conçues vers le service NetScaler VPN/AAA exposé (ouvert par défaut sur HTTPS/TCP). Aucun privilège ni authentification préalable n’est requis (vecteur d’attaque : Réseau LAN/Internet; Pas d’authentification; Pas d’interaction utilisateur) (support.citrix.com). Le NetScaler vulnérable renvoie alors des réponses qui contiennent involontairement des morceaux de sa mémoire interne. L’attaquant peut ainsi récupérer ces données, qui contiennent par exemple les tokens de session des utilisateurs connectés (tenable.com).

En interne, ce mécanisme ressemble fortement au fonctionnement de Citrix Bleed (CVE-2023-4966) : dans les deux cas, un attaquant non authentifié extrait des jetons d’authentification en mémoire pour usurper des sessions. Mais CVE-2025-5777 cible plus spécifiquement les session tokens (utilisés au-delà du simple navigateur, par exemple pour des API ou des applications clients), pas seulement les cookies de session web (thehackernews.com). Ainsi, les victimes peuvent être compromises plus longtemps et sur plusieurs services sans détection, même après la fin de la session utilisateur.

Risques et exposition

Cette vulnérabilité présente un risque majeur pour toute organisation utilisant Citrix NetScaler comme portail d’accès distant ou équilibreur de charge. Les secteurs critiques (banque, santé, gouvernement, industrie, télécoms, etc.) sont particulièrement concernés car ils dépendent souvent de NetScaler pour sécuriser leurs accès. Les appliances sont souvent directement accessibles sur Internet, ce qui rend l’attaque réalisable à distance.

Les données exposées sont principalement des jetons de session utilisateur (tenable.com). Un attaquant volant de tels jetons peut « se faire passer » pour un utilisateur légitime ou même un administrateur, et accéder aux ressources internes protégées. Étant donné que le jeton contourne la MFA, même les protections multi-facteurs ne bloqueront pas cette intrusion. Cela ouvre la voie à des attaques de grande ampleur : déplacements latéraux dans le réseau, compromission de systèmes critiques, vol de données sensibles (financières, médicales, stratégiques), voire déploiement de ransomwares.

Selon Citrix et plusieurs chercheurs, bien que CVE-2025-5777 n’ait pas été officiellement classée comme exploitée avant sa publication, des indications sérieuses suggèrent qu’elle est activement ciblée. Par exemple, Tenable signale que CVE-2025-5777, CVSS 9.3, a déjà fait l’objet d’attaques en conditions réelles (tenable.com). De même, l’équipe ReliaQuest rapporte avoir observé des sessions Citrix détournées (MFA contournée) et d’autres signes révélateurs (sessions issues de VPN grand public, usage d’outils ADExplorer, requêtes LDAP inhabituelles) (computerweekly.comreliaquest.com). En conséquence, même si Citrix indique pour l’instant n’avoir vu aucune exploitation avérée de CVE-2025-5777 (netscaler.com), tous les experts conseillent de considérer cette vulnérabilité comme « probablement exploitée » et d’agir en urgence (computerweekly.com, tenable.com).

Mitigation et remédiation immédiates

  • Mettre à jour sans délai. Citrix a publié des correctifs critiques pour NetScaler ADC/Gateway. Il est impératif d’appliquer immédiatement les builds corrigés correspondant à votre version (cyber.gc.ca, support.citrix.com). Par exemple, mettre à niveau vers NetScaler ADC/Gateway 14.1-47.46 (ou ultérieur) et 13.1-59.19 (ou ultérieur) (cyber.gc.ca). Les versions équivalentes pour 13.1-FIPS/NDcPP et 12.1-FIPS sont aussi fournies (cyber.gc.ca). Attention : les versions 12.1 et 13.0 étant EOL, elles n’ont pas de correctif – il faut migrer vers une version supportée.
  • Terminer les sessions actives. Après mise à jour, exécutez les commandes recommandées pour déconnecter immédiatement toutes les sessions ICA et PCoIP ouvertes (support.citrix.com) :
kill icaconnection -all
kill pcoipConnection -all
  • Cela empêche un attaquant d’utiliser des jetons anciens pour se reconnecter.
  • Pas de contournement (workaround) connu. Citrix et les analystes confirment qu’il n’existe aucune solution de contournement fiable autre que l’application du patch (netscaler.com, thehackernews.com). Aucune option de configuration ne neutralise la vulnérabilité : seule la mise à jour du firmware supprime la faille.
  • Limiter l’accès temporaire (solution partielle). Si le patch immédiat est impossible, verrouillez autant que possible le dispositif NetScaler : autorisez seulement les IP internes ou des plages restreintes vers la passerelle VPN (par exemple via un pare-feu/NACL). Autre option temporaire, si vous disposez d’une solution VPN alternative, basculez l’accès distant dessus et désactivez le service NetScaler vulnérable. Cependant, ces mesures ne remplacent pas le correctif.
  • Surveiller les indicateurs d’intrusion. Inspectez les logs Citrix pour détecter tout comportement anormal : sessions ouvertes se réutilisant d’adresses IP différentes, erreurs AAA répétées, authentifications tardives, etc. Des firmes comme ReliaQuest et Tenable ont publié des indicateurs de compromission (IoC) spécifiques (sessions Citrix hijackées, outils ADExplorer sur des postes internes, requêtes LDAP massives, etc.) (reliaquest.com, computerweekly.com). Si vous suspectez une compromission, contactez le support Citrix pour obtenir les IoC connus à ce jour (netscaler.com).

Technique : commandes NetScaler

Après patch, il est recommandé d’exécuter les commandes suivantes en CLI NetScaler pour tuer toutes les sessions distantes :

kill icaconnection -all

kill pcoipConnection -all

Ces commandes (détaillées dans le bulletin Citrix (support.citrix.com))  garantissent qu’aucun utilisateur ou attaquant ne reste connecté.

Recommandations à moyen terme

  • Gestion des mises à jour et cycle de vie.
    Maintenir un processus rigoureux de patch management pour les appliances critiques (NetScaler, serveurs, pare-feu, etc.). Tester et déployer régulièrement les mises à jour de sécurité. Éviter de rester en fin de vie (EOL) sur des équipements stratégiques.
  • Segmentation et accès restreint.
    Isoler autant que possible les interfaces de management et les services sensibles. Par exemple, déplacer le plan de management (NSIP) sur un réseau interne non routable depuis Internet. Placer la passerelle VPN derrière un WAF ou une autre couche de filtrage si possible. Établir des règles strictes de pare-feu/LAN pour ne laisser communiquer que les flux nécessaires vers le NetScaler.
  • MFA renforcée et détection d’anomalies. 
    Bien que la MFA seule ne suffise pas (les jetons volés contournent la MFA), on peut la compléter par des mécanismes de détection de comportements suspects : géolocalisation des connexions, vérification d’intégrité des terminaux, etc. Mettre en place des systèmes de surveillance (SIEM/IDS/EDR) pour détecter des anomalies (connexion d’un utilisateur depuis deux endroits différents, etc.).
  • Conformité aux bonnes pratiques. 
    Suivre les recommandations des organismes (par ex. le Top 10 IT Security Actions du Centre canadien (cyber.gc.ca), les guides CIS Benchmarks pour Citrix, etc.). Effectuer régulièrement des audits de configuration (vérifier que seul le trafic nécessaire circule) et des pentests sur l’infrastructure d’accès distant.
  • Plan de réponse à incident. 
    Disposer d’un plan documenté en cas de compromission d’un NetScaler : arrêter le service, collecter les logs, identifier la portée, réinitialiser les équipements. Tester ce plan périodiquement. Inclure la procédure de terminaison des sessions et de réinitialisation des appareils.
  • Sensibilisation et veille. 
    Informer les équipes IT des risques liés aux vulnérabilités de type mémoire et aux contournements d’authentification. Continuer à suivre les bulletins de sécurité Citrix et les publications des chercheurs. Encourager la veille sur les projets CVE (NVD/MITRE) et les alertes CISA/CERT.

Sources officielles

  • Base de données NVD/CVE (NIST) : CVE-2025-5777 décrit comme « Insufficient input validation leading to memory overread … » (nvd.nist.gov).
  • Citrix Security Bulletin CTX693420 (17 juin 2025) – détaillant CVE-2025-5349 et CVE-2025-5777, avec les conditions d’exploitation et versions affectées( support.citrix.com, support.citrix.com).
  • Citrix Netscaler Blog (26 juin 2025, Anil Shetty) – précisant la nature des vulnérabilités 6543 et 5777, confirmant qu’aucun contournement n’existe et qu’il n’y a pas (pour l’instant) d’exploitation avérée de 5777 (netscaler.com, netscaler.com)
  • Alerte du Centre canadien pour la cybersécurité (AL25-008, 26 juin 2025) – français, liste les versions affectées, conditions et mesures recommandées (patchs 14.1-47.46+, etc.) (cyber.gc.ca).
  • Tenable FAQ Blog (27 juin 2025, Scott Caveza) – explications techniques sur CVE-2025-5777 (CitrixBleed 2) et CVE-2025-6543, rôle des jetons de session (tenable.com)
  • ComputerWeekly/ReliaQuest (27 juin 2025) – synthèse en anglais soulignant les similitudes avec Citrix Bleed 2023, et les observations d’exploitation en cours( computerweekly.com)
  • HackerNews (Ravie Lakshmanan, 25 juin 2025) – résumé des vulnérabilités NetScaler récentes, incluant CVE-2025-5777 (expliquant l’overread et l’utilisation de jetons) (thehackernews.com).
  • CISA Known Exploited Vulnerabilities – CVE-2025-6543 est inscrit comme exploitée (ajouté le 30 juin 2025), CVE-2025-5777 n’apparaît pas dans la liste (mais fait l’objet d’alertes) (cisa.gov).
  • Bulletins Citrix AV25-350 et AV25-374 – publications officielles correspondant aux alertes canadiennes et résumées ci-dessus (cyber.gc.ca).

Se connecter pour laisser un commentaire.