Il mondo della cybersecurity torna a occuparsi di Citrix. Lo scorso 4 luglio 2025 sono stati infatti pubblicati i dettagli di una nuova e grave vulnerabilità, identificata come CVE-2025-5777 e soprannominata CitrixBleed 2, che colpisce i dispositivi Citrix NetScaler ADC e Gateway. Si tratta di una falla di tipo memory disclosure, che consente a un attaccante non autenticato di ottenere accesso arbitrario a porzioni casuali della memoria di sistema.
Accesso ai dati senza autenticazione
L’aspetto più preoccupante di CitrixBleed 2 è la sua semplicità di sfruttamento: basta una semplice richiesta POST all’endpoint /p/u/doAuthentication.do per attivare l’exploit. L’attacco sfrutta una variabile non inizializzata nel codice C/C++ del modulo di autenticazione, che permette al malintenzionato di leggere blocchi di memoria non protetti. In questi blocchi potrebbero trovarsi token di sessione, credenziali, chiavi di accesso e informazioni di configurazione interna, con un impatto potenzialmente devastante sulla sicurezza aziendale.
Rischi immediati e Proof of Concept online
Citrix aveva notificato la vulnerabilità ai propri clienti già il 17 giugno, ma la situazione è precipitata il 4 luglio con la pubblicazione di un proof of concept (PoC) pubblico. Nelle 24 ore successive, i ricercatori di Akamai hanno osservato una vera e propria ondata di traffico malevolo, con oltre 200.000 richieste sospette legate a scanner automatici e tentativi reali di sfruttamento. È quindi probabile che molti attori della minaccia abbiano già iniziato a testare la vulnerabilità in scenari reali.
La risposta di Akamai
In risposta alla minaccia, il team WAF Threat Research di Akamai ha rilasciato tempestivamente la Rapid Rule 3000967, integrandola nei sistemi App & API Protector. La regola, inizialmente attivata in modalità “alert”, è stata impostata su “deny” a partire dall’8 luglio, bloccando di fatto qualsiasi tentativo di attacco per tutti i clienti protetti da questa tecnologia. Chi utilizza Akamai per la protezione di applicazioni web e API non deve effettuare alcuna configurazione manuale: la mitigazione è stata applicata automaticamente a tutti i clienti con policy aggiornate. Un vantaggio significativo in situazioni in cui il tempo è un fattore critico per contenere l’esposizione.
CitrixBleed 2 richiama alla memoria il precedente CVE-2023-4966, noto come CitrixBleed, ma la nuova vulnerabilità si presenta con caratteristiche ancora più critiche. A differenza del suo predecessore, non è richiesto alcun livello di autenticazione, rendendo l’exploit accessibile anche ad attaccanti con risorse e competenze limitate.
Leggi anche: “Vulnerabilità zero day di Microsoft“
*illustrazione articolo progettata da Freepik
The post Occhio alla vulnerabilità CitrixBleed 2 first appeared on Hackerjournal.it.