Código HTML do Conteúdo
Post: Citrix Falha de 0 dias sob exploração ativa desde maio
<div>
<div>
<p>O pesquisador de segurança Kevin Beaumont revelou detalhes alarmantes sobre a CVE-2025-6543, uma vulnerabilidade crítica do Citrix NetsCaler que foi ativamente explorada como um ataque de dia zero por meses antes da emissão da empresa. </p>
<p>O que a Citrix subestimou inicialmente como uma simples vulnerabilidade de “negação de serviço” provou ser uma falha sofisticada de execução de código remoto que comprometeu o governo e os serviços jurídicos em todo o mundo.</p>
<p>A vulnerabilidade, que permite que os invasores atinjam a execução remota de código por meio de ataques de transbordamento de memória, está sob exploração ativa desde pelo menos no início de maio de 2025, de acordo com investigações da NCSC Holanda. </p>
<p>Somente Citrix <a href="https://doublepulsar.com/citrix-forgot-to-tell-you-cve-2025-6543-has-been-used-as-a-zero-day-since-may-2025-d76574e2dd2c" rel="noreferrer noopener nofollow" target="_blank">lançado</a> Patches em 25 de junho de 2025, o que significa que os atores de ameaças tinham meses para explorar sistemas não patches antes que a vulnerabilidade se tornasse conhecimento público.</p>
<p>As principais características do ataque incluem:</p>
<ul>
<li>Certificados de clientes maliciosos enviados ao NetsCaler Endpoint <code>/cgi/api/login</code> através de centenas de solicitações de postagem.</li>
<li>Ataques de transbordamento de memória projetados para substituir os pedaços de memória e executar o código arbitrário.</li>
<li>Implantação de webshells e backdoors persistentes que permanecem ativos mesmo após o patch.</li>
<li>O apagamento ativo dos traços de ataque para complicar investigações forenses.</li>
<li>Exploração de várias vulnerabilidades Citrix simultaneamente, incluindo CVE-2025-5777 (<a href="https://gbhackers.com/hackers-actively-exploited-citrixbleed-2-flaw/" rel="noreferrer noopener" target="_blank">Citrixbleed 2</a>).</li>
</ul>
<p>A metodologia de ataque envolve o envio de certificados de clientes maliciosos para o terminal NetScaler <code>/cgi/api/login</code> Através de centenas de solicitações de postagem projetadas para substituir os pedaços de memória e executar o código arbitrário. </p>
<p>O que torna isso particularmente preocupante é que os invasores estão implantando webshells e backdoors persistentes que permanecem ativos mesmo após o patch, garantindo o acesso contínuo a redes comprometidas.</p>
<p>A NCSC Holanda relatou que “várias organizações críticas da Holanda foram atacadas com sucesso”, com investigações forenses revelando que os atacantes apagaram ativamente traços de sua atividade para complicar os esforços de resposta a incidentes. </p>
<p>Os mesmos atores de ameaças parecem estar explorando várias vulnerabilidades Citrix simultaneamente, incluindo CVE-2025-5777 (Citrixbleed 2) para roubar sessões de usuário e ignorar a autenticação de vários fatores.</p>
<h2 id="widespread-impact-and-inadequate-response"><strong>Impacto generalizado, resposta fraca</strong></h2>
<p>O escopo desta campanha se estende muito além das estimativas iniciais, com agências governamentais, serviços jurídicos e organizações críticas de infraestrutura em todo o mundo vítimas a esses ataques. </p>
<p>Os sistemas comprometidos foram usados ​​como pontos de lançamento para o movimento lateral em ambientes do Active Directory, com os invasores usando indefinições de credenciais da conta de serviço LDAP para expandir o acesso à rede.</p>
<p>A avaliação de impacto revela:</p>
<ul>
<li>Agências governamentais, serviços jurídicos e organizações críticas de infraestrutura comprometidas em todo o mundo.</li>
<li>Movimento lateral em ambientes do Active Directory usando credenciais de conta de serviço LDAP roubadas.</li>
<li>Voltado para a Internet <a href="https://gbhackers.com/7000-citrix-netscaler-devices-still-vulnerable/" rel="noreferrer noopener" target="_blank">Dispositivos NetsCaler</a> diminuiu pela metade desde o final de 2023 devido a preocupações de segurança.</li>
<li>Os clientes confiam cada vez mais nas agências governamentais, em vez de na Citrix para obter inteligência de ameaças.</li>
<li>Condições restritivas colocadas nos clientes solicitando scripts de detecção da Citrix.</li>
</ul>
<p>A resposta de Citrix à crise atraiu críticas fortes de especialistas em segurança. A empresa forneceu aos clientes scripts de detecção apenas mediante solicitação e em condições restritivas, enquanto não comunica a verdadeira severidade e escopo da vulnerabilidade. </p>
<p>Essa falta de transparência deixou os clientes incapazes de avaliar adequadamente seu status de compromisso ou implementar medidas defensivas adequadas.</p>
<p>A telemetria de segurança da Shodan indica que os dispositivos NetScaler voltados para a Internet diminuíram pela metade desde o final de 2023, sugerindo que as organizações estão abandonando a plataforma devido a preocupações de segurança em andamento. </p>
<p>A situação se tornou tão problemática que os clientes confiam cada vez mais nas agências de segurança cibernética do governo e pesquisadores independentes, em vez de serem a própria Citrix para obter uma inteligência precisa das ameaças.</p>
<p>As organizações que executam os sistemas Citrix NetsCaler precisam tomar medidas imediatas para proteger sua infraestrutura. </p>
<p>Especialistas em segurança recomendam verificar os logs de acesso à web para obter solicitações de postagem suspeitas para <code>/cgi/api/login</code> terminais, particularmente aqueles acompanhados pelo código de erro 1245184, o que indica certificados de clientes inválidos.</p>
<p>As medidas de resposta crítica incluem:</p>
<ul>
<li>Verifique os logs de acesso à web para obter solicitações de postagem suspeitas para <code>/cgi/api/login</code> pontos de extremidade.</li>
<li>Procure o código de erro 1245184 indicando certificados de clientes inválidos em logs NetsCaler.</li>
<li>Os dispositivos NetScaler afetados pela energia afetados imediatamente se forem suspeitos de compromisso.</li>
<li>Realize imagens forenses usando scripts de detecção da NCSC Holanda disponíveis no GitHub.</li>
<li>Altere todas as credenciais da conta de serviço LDAP associadas.</li>
<li>Implantar sistemas de reposição com novas credenciais, em vez de tentar reparos.</li>
</ul>
<p>O NCSC Holanda publicou scripts abrangentes de detecção e ferramentas forenses no Github para ajudar as organizações a identificar indicadores de compromisso e conduzir a resposta adequada dos incidentes. </p>
<p>As organizações que descobrem sinais de exploração devem desligar imediatamente os dispositivos afetados do NetScaler, conduzir imagens forenses, alterar todas as credenciais de conta de serviço LDAP associadas e implantar sistemas de reposição com novas credenciais.</p>
<p>A crise destaca problemas sistêmicos mais amplos com a segurança do NetScaler, pois a plataforma sofreu múltiplos <a href="https://gbhackers.com/pwn2own-day-3-zero-day-exploits/" rel="noreferrer noopener" target="_blank">Explorações de dias zero</a> Nos últimos meses. </p>
<p>Com os atores de ameaças “em execução em torno do produto regularmente” e Citrix não fornecendo transparência adequada, as organizações podem precisar considerar soluções alternativas de acesso remoto para proteger sua infraestrutura crítica de ataques contínuos.</p>
<p><strong>Encontre esta notícia interessante! Siga -nos<a href="https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEV2RpYUdGamEyVnljeTVqYjIwb0FBUAE?hl=en-IN&gl=IN&ceid=IN%3Aen" rel="noreferrer noopener" target="_blank">Google News</a>Assim,<a href="https://www.linkedin.com/company/cyber-threat-intel/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/The_Cyber_News" rel="noreferrer noopener" target="_blank">X</a>Para obter atualizações instantâneas!</strong></p>
</div></div>