-
09/04/2020
-
110
-
1.030 bài viết
Hơn 3.000 thiết bị Citrix NetScaler đối diện nguy cơ bị chiếm quyền từ CitrixBleed 2
Hơn 3.300 thiết bị Citrix NetScaler vẫn đang bị bỏ ngỏ trước lỗ hổng nghiêm trọng CVE-2025-5777, còn được biết đến với tên CitrixBleed 2, dù bản vá đã được Citrix phát hành gần hai tháng trước.
Đây là một lỗi out-of-bounds memory read xuất phát từ việc cơ chế xác thực dữ liệu đầu vào không đủ chặt chẽ, khiến kẻ tấn công chưa xác thực có thể gửi các gói yêu cầu được chế tác đặc biệt để truy xuất dữ liệu vượt ra ngoài vùng bộ nhớ cho phép. Các thiết bị chạy ở chế độ Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) hoặc AAA virtual server đặc biệt dễ bị ảnh hưởng.
Với việc khai thác thành công, tin tặc có thể trích xuất trực tiếp các session token và thông tin đăng nhập đang tồn tại trong bộ nhớ tiến trình, từ đó chiếm quyền điều khiển phiên làm việc mà không cần biết mật khẩu gốc hoặc vượt qua MFA. Một kịch bản tấn công điển hình có thể bao gồm: gửi yêu cầu crafted để kích hoạt đọc bộ nhớ ngoài vùng, lấy được token từ gateway đối diện Internet, sau đó sử dụng token này để gọi API quản trị hoặc truy cập tài nguyên nội bộ dưới danh nghĩa người dùng hợp pháp. Điều này giúp chúng duy trì quyền truy cập bền vững và mở rộng hiện diện bên trong mạng nạn nhân.
Chỉ chưa đầy hai tuần sau khi công bố, các mã khai thác PoC cho CVE-2025-5777 đã xuất hiện rộng rãi. Tuy nhiên, theo giới nghiên cứu, các nhóm APT đã khai thác zero-day này từ nhiều tuần trước đó. Cách thức khai thác có thể được tự động hóa thông qua script quét diện rộng, kết hợp với các công cụ như curl hoặc Python requests để lấy bộ nhớ và trích xuất thông tin phiên. Đây là kịch bản tương tự như vụ CitrixBleed năm 2023, khi tin tặc khai thác lỗi đọc bộ nhớ để xâm nhập NetScaler, di chuyển ngang và triển khai ransomware trong các mạng chính phủ.
Bên cạnh đó, dữ liệu từ Shadowserver Foundation cho thấy còn 4.142 thiết bị NetScaler chưa được vá CVE-2025-6543, một lỗi memory overflow có thể gây thay đổi luồng thực thi, dẫn đến DoS hoặc kiểm soát luồng lệnh ngoài ý muốn. Citrix đã cảnh báo đây là lỗi nghiêm trọng, nhưng NCSC Hà Lan tiết lộ nó đã bị khai thác như zero-day từ đầu tháng 5 để xâm nhập nhiều tổ chức trọng yếu. Kẻ tấn công không chỉ khai thác thành công mà còn xóa sạch log, ẩn mọi dấu vết để tránh bị phát hiện.
Mặc dù NCSC không công khai danh tính toàn bộ nạn nhân, Cơ quan Công tố Hà Lan đã thừa nhận bị tấn công hôm 18/7, gây gián đoạn nghiêm trọng và làm tê liệt hệ thống email trong nhiều tuần. CISA Hoa Kỳ đã đưa cả CVE-2025-5777 và CVE-2025-6543 vào danh sách các lỗ hổng đang bị khai thác tích cực, đồng thời ban hành chỉ thị buộc các cơ quan liên bang vá CitrixBleed 2 trong vòng 24 giờ và khắc phục CVE-2025-6543 trước ngày 21/7.
Ở thời điểm này, việc hơn 3.000 thiết bị NetScaler vẫn chưa được vá chẳng khác nào để ngỏ cánh cửa chính giữa phố đông cho bất kỳ ai bước vào. Lịch sử từ CitrixBleed cho thấy những lỗ hổng dạng “đọc bộ nhớ” hiếm khi dừng lại ở việc lộ token hay thông tin đăng nhập, mà thường trở thành bàn đạp cho chuỗi xâm nhập phức tạp hơn, từ đánh cắp dữ liệu cho tới triển khai ransomware. Với công cụ khai thác đã nằm trong tay nhiều nhóm tấn công và kỹ thuật ẩn mình ngày càng tinh vi, nguy cơ về một làn sóng tấn công CitrixBleed 2 quy mô lớn chỉ còn là vấn đề thời gian.
Đây là một lỗi out-of-bounds memory read xuất phát từ việc cơ chế xác thực dữ liệu đầu vào không đủ chặt chẽ, khiến kẻ tấn công chưa xác thực có thể gửi các gói yêu cầu được chế tác đặc biệt để truy xuất dữ liệu vượt ra ngoài vùng bộ nhớ cho phép. Các thiết bị chạy ở chế độ Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) hoặc AAA virtual server đặc biệt dễ bị ảnh hưởng.
Với việc khai thác thành công, tin tặc có thể trích xuất trực tiếp các session token và thông tin đăng nhập đang tồn tại trong bộ nhớ tiến trình, từ đó chiếm quyền điều khiển phiên làm việc mà không cần biết mật khẩu gốc hoặc vượt qua MFA. Một kịch bản tấn công điển hình có thể bao gồm: gửi yêu cầu crafted để kích hoạt đọc bộ nhớ ngoài vùng, lấy được token từ gateway đối diện Internet, sau đó sử dụng token này để gọi API quản trị hoặc truy cập tài nguyên nội bộ dưới danh nghĩa người dùng hợp pháp. Điều này giúp chúng duy trì quyền truy cập bền vững và mở rộng hiện diện bên trong mạng nạn nhân.
Chỉ chưa đầy hai tuần sau khi công bố, các mã khai thác PoC cho CVE-2025-5777 đã xuất hiện rộng rãi. Tuy nhiên, theo giới nghiên cứu, các nhóm APT đã khai thác zero-day này từ nhiều tuần trước đó. Cách thức khai thác có thể được tự động hóa thông qua script quét diện rộng, kết hợp với các công cụ như curl hoặc Python requests để lấy bộ nhớ và trích xuất thông tin phiên. Đây là kịch bản tương tự như vụ CitrixBleed năm 2023, khi tin tặc khai thác lỗi đọc bộ nhớ để xâm nhập NetScaler, di chuyển ngang và triển khai ransomware trong các mạng chính phủ.
Bên cạnh đó, dữ liệu từ Shadowserver Foundation cho thấy còn 4.142 thiết bị NetScaler chưa được vá CVE-2025-6543, một lỗi memory overflow có thể gây thay đổi luồng thực thi, dẫn đến DoS hoặc kiểm soát luồng lệnh ngoài ý muốn. Citrix đã cảnh báo đây là lỗi nghiêm trọng, nhưng NCSC Hà Lan tiết lộ nó đã bị khai thác như zero-day từ đầu tháng 5 để xâm nhập nhiều tổ chức trọng yếu. Kẻ tấn công không chỉ khai thác thành công mà còn xóa sạch log, ẩn mọi dấu vết để tránh bị phát hiện.
Mặc dù NCSC không công khai danh tính toàn bộ nạn nhân, Cơ quan Công tố Hà Lan đã thừa nhận bị tấn công hôm 18/7, gây gián đoạn nghiêm trọng và làm tê liệt hệ thống email trong nhiều tuần. CISA Hoa Kỳ đã đưa cả CVE-2025-5777 và CVE-2025-6543 vào danh sách các lỗ hổng đang bị khai thác tích cực, đồng thời ban hành chỉ thị buộc các cơ quan liên bang vá CitrixBleed 2 trong vòng 24 giờ và khắc phục CVE-2025-6543 trước ngày 21/7.
Ở thời điểm này, việc hơn 3.000 thiết bị NetScaler vẫn chưa được vá chẳng khác nào để ngỏ cánh cửa chính giữa phố đông cho bất kỳ ai bước vào. Lịch sử từ CitrixBleed cho thấy những lỗ hổng dạng “đọc bộ nhớ” hiếm khi dừng lại ở việc lộ token hay thông tin đăng nhập, mà thường trở thành bàn đạp cho chuỗi xâm nhập phức tạp hơn, từ đánh cắp dữ liệu cho tới triển khai ransomware. Với công cụ khai thác đã nằm trong tay nhiều nhóm tấn công và kỹ thuật ẩn mình ngày càng tinh vi, nguy cơ về một làn sóng tấn công CitrixBleed 2 quy mô lớn chỉ còn là vấn đề thời gian.
Theo Bleeping Computer