Een nieuwe kwetsbaarheid in NetScaler ADC en NetScaler Gateway, die de naam CitrixBleed 2 heeft gekregen, wordt mogelijk actief misbruik bij aanvallen, zo stelt securitybedrijf ReliaQuest. NetScaler zegt niet bekend te zijn met actief misbruik, maar roept organisaties op de kwetsbaarheid meteen te patchen. De Engelse gezondheidsdienst NHS England verwacht dat misbruik op korte termijn zeer waarschijnlijk is.

Het gaat om een kwetsbaarheid aangeduid als CVE 2025-5777 waardoor een aanvaller via het versturen van een HTTP request het geheugen van het NetScaler-apparaat kan uitlezen, om zo bijvoorbeeld session tokens van gebruikers te stelen die toegang tot accounts geven. Op 17 juni verschenen er beveiligingsupdates voor het probleem. Een soortgelijke kwetsbaarheid in 2023, die de naam CitrixBleed kreeg, werd op grote schaal misbruikt.

NetScaler waarschuwde eerder deze week wel voor actief misbruik van een ander beveiligingslek, aangeduid als CVE-2025-6543. Misbruik vond al voor het uitkomen van een patch plaats. Het bedrijf is nu met een blogposting gekomen waarin het meer details over beide kwetsbaarheden geeft. "Voor klanten met kwetsbare installaties, is het direct installeren van de aanbevolen updates, vanwege de ernst van de kwetsbaarheid en bewijs van actief misbruik, essentieel", aldus NetScaler over CVE-2025-6543.

Het bedrijf zegt niet bekend te zijn met misbruik van CVE 2025-5777. Securitybedrijf ReliaQuest zegt dat het indicatoren heeft gezien die op mogelijk misbruik van de kwetsbaarheid wijzen. "ReliaQuest stelt met gemiddelde zekerheid vast dat aanvallers dit lek actief misbruiken om toegang tot aangevallen omgevingen te krijgen." De indicatoren betreffen onder andere gekaapte Citrix websessies en hergebruik van sessies over meerdere ip-adressen.

De Engelse gezondheidsdienst NHS England laat weten dat CVE-2025-5777 erg veel lijkt op het CitrixBleed-lek uit 2023, dat op grote schaal door ransomwaregroepen werd misbruikt. Gezien de overeenkomsten verwacht de organisatie dat misbruik van CVE-2025-5777 op korte termijn zal plaatsvinden. NetScaler heeft geen indicators of compromise gegeven waarmee organisaties kunnen controleren of hun systemen zijn gecompromitteerd. Daarnaast zijn verschillende versies van NetScaler ADC en Gateway end-of-life. Voor deze versies zijn geen patches beschikbaar.

NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd NetScaler-systeem kan dan ook groot zijn.