CibersegurançaNotícias

Citrix Bleed 2 (CVE-2025-5777): Guia para corrigir a falha

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Citrix

A falha crítica no NetScaler foi explorada por semanas antes da divulgação. Saiba como identificar e corrigir o CVE-2025-5777.

A comunidade de segurança da informação está em alerta máximo. A vulnerabilidade crítica Citrix Bleed 2 (CVE-2025-5777) foi confirmadamente explorada em segredo por semanas antes de qualquer reconhecimento público da Citrix. A falha afeta dispositivos Citrix NetScaler ADC e Gateway, tecnologias amplamente utilizadas como porta de entrada para redes corporativas em todo o mundo. Pior ainda, a empresa inicialmente negou que a falha estivesse sendo usada em ataques reais, o que gerou forte reação da comunidade de segurança.

Conteúdo

Neste artigo, vamos explicar em detalhes o que é a vulnerabilidade Citrix Bleed 2, apresentar a cronologia completa dos ataques que a Citrix tentou minimizar, analisar o impacto da resposta tardia da empresa e, principalmente, fornecer um guia técnico e acionável para que administradores de sistemas possam detectar sinais de comprometimento e corrigir imediatamente seus ambientes NetScaler.

Dado que o NetScaler é um ponto crítico nas infraestruturas de TI, qualquer falha nesse sistema pode resultar em sequestro de sessões, roubo de credenciais, vazamento de dados sensíveis e acesso irrestrito à rede interna. Com a exploração ativa já documentada, agir imediatamente é vital.

Netscaler

O que é a vulnerabilidade Citrix Bleed 2 (CVE-2025-5777)?

A Citrix Bleed 2 é uma vulnerabilidade de vazamento de memória (memory leak) descoberta nos dispositivos NetScaler ADC e Gateway, que ocorre devido à validação insuficiente de entrada em solicitações de autenticação.

Mais especificamente, a falha reside no endpoint /doAuthentication.do, onde uma solicitação POST malformada, em que o parâmetro login é fornecido sem o sinal de igual (=), ativa um comportamento inesperado no NetScaler, resultando no vazamento de 127 bytes da memória do processo.

Esse vazamento, embora pequeno por requisição, pode ser explorado em ataques repetidos para exfiltrar dados altamente sensíveis, como:

  • Tokens de sessão válidos
  • Credenciais armazenadas temporariamente na memória
  • Outros dados confidenciais associados ao processo de autenticação

Esse tipo de vulnerabilidade é particularmente perigoso porque permite a escalada de acesso mesmo sem autenticação inicial. Ao recuperar tokens de sessão válidos, um invasor pode tomar controle de sessões legítimas, assumindo a identidade de usuários válidos na rede.

A cronologia da exploração: Os ataques que a Citrix negou

A seguir, apresentamos uma linha do tempo precisa e documentada da exploração da CVE-2025-5777, demonstrando como a falha foi usada ativamente antes do reconhecimento público da Citrix:

  • 23 de junho de 2025: A empresa de inteligência de ameaças GreyNoise detecta os primeiros sinais de exploração ativa, com requisições malformadas chegando a instâncias expostas.
  • 4 de julho de 2025: Uma prova de conceito (PoC) funcional da falha é publicada por pesquisadores independentes, facilitando a replicação dos ataques.
  • 9 de julho de 2025: A CISA (Agência de Cibersegurança dos EUA) inclui a falha CVE-2025-5777 em seu catálogo de vulnerabilidades exploradas conhecidas (KEV), sinalizando a gravidade do risco.
  • 11 de julho de 2025: A Citrix atualiza discretamente um post de blog antigo para reconhecer que a falha estava sendo explorada, sem emitir novo alerta oficial.
  • 15 de julho de 2025: Após forte pressão da comunidade, a Citrix finalmente publica um guia técnico mais detalhado reconhecendo a exploração ativa da vulnerabilidade.

Durante esse período, o pesquisador Kevin Beaumont criticou publicamente a Citrix por sua falta de transparência, argumentando que a empresa sabia da exploração antes de alertar os clientes. A postura inicial da Citrix comprometeu a capacidade de resposta de administradores ao redor do mundo, aumentando o impacto da falha.

Guia prático: Como identificar sinais de comprometimento no seu NetScaler

Analisando os logs do NetScaler

Administradores devem revisar cuidadosamente os logs do NetScaler em busca dos seguintes indicadores de comprometimento (IOCs):

  • Requisições repetidas para /doAuthentication.do com Content-Length: 5
  • Logs contendo mensagens como:
    • “Authentication rejected for”
    • “AAA Message”
    • Valores de bytes não ASCII visíveis nos campos de autenticação

Além disso, é fundamental:

  • Verificar sessões onde há alterações suspeitas no IP de origem, indicando possível sequestro de sessão.
  • Observar padrões incomuns de autenticação falha, com possíveis tentativas automatizadas de coleta de vazamentos.

Verificando logoffs suspeitos

Outro indicador relevante envolve entradas de log de logoff com nomes de usuário malformados, especialmente com caracteres como #.

Esse comportamento pode indicar que o invasor está testando ou manipulando sessões capturadas via tokens vazados, tentando forçar finalizações ou identificar sessões ativas.

Passos para mitigar a ameaça e proteger sua rede

Aplicação de patches é a única solução

A única mitigação efetiva contra a Citrix Bleed 2 é a aplicação imediata dos patches oficiais.

A Citrix lançou atualizações corrigindo a falha, e não há soluções alternativas (workarounds). Instâncias nas versões:

  • NetScaler ADC/Gateway 12.1 e 13.0 estão em Fim de Vida (EOL) e não receberão atualizações, sendo obrigatório migrar para versões suportadas.

Administradores devem:

  1. Verificar a versão atual do dispositivo.
  2. Atualizar imediatamente para uma versão que contenha a correção da CVE-2025-5777.
  3. Confirmar a aplicação dos patches com reinicialização dos serviços.

Limpando sessões potencialmente comprometidas

Após a correção, é essencial invalidar todas as sessões existentes, pois tokens já vazados podem continuar em uso. A Citrix recomenda os seguintes comandos para encerramento:

kill icaconnection -all
kill pcoipConnection -all

O especialista Kevin Beaumont recomenda ir além, executando também:

kill rdpConnection -all
kill sshConnection -all
kill telnetConnection -all
kill connConnection -all
kill aaa session -all

Esse procedimento força a reautenticação de todos os usuários e termina qualquer sessão suspeita em andamento, aumentando significativamente a segurança após o patch.

Conclusão: O impacto e as lições do caso Citrix Bleed 2

A vulnerabilidade Citrix Bleed 2 (CVE-2025-5777) representa mais do que uma simples falha técnica. Ela expõe problemas de comunicação entre fornecedores e clientes, além de destacar a importância de respostas rápidas, coordenadas e transparentes em incidentes de segurança.

O fato de que a falha foi explorada em segredo por semanas demonstra como atacantes estão cada vez mais ágeis e sofisticados, explorando até brechas recém-descobertas antes mesmo de serem divulgadas publicamente.

Se você administra um ambiente com NetScaler, não espere. Aplique os patches, revise seus logs em busca de sinais de invasão e compartilhe este guia com sua equipe técnica. Fortalecer a detecção, o monitoramento e a resposta a incidentes é essencial para lidar com as ameaças modernas.

Não espere pelo próximo alerta. Verifique seus sistemas agora e compartilhe este guia com sua equipe para fortalecer suas defesas.

TAGGED:
Compartilhe este artigo
Artigo anterior Logotipo do GitHub em destaque, cercado por um fundo escuro com linhas coloridas em movimento, representando a inovação tecnológica e a dinâmica do desenvolvimento de software. Malware no GitHub: Como hackers usam repositórios para atacar
Inteligência ArtificialNotícias

Gemini para Android ganha vídeo mais nítido e interface repaginada

Gemini Live

Experiência mais nítida, fluidez aprimorada: o Gemini evolui no Android com foco em usabilidade e visão computacional.

Por Jardeson Márcio

Leia também

Posts sobre o mesmo assunto