Het Amerikaanse cyberagentschap CISA heeft overheidsinstanties opgedragen om een actief aangevallen kwetsbaarheid in Citrix NetScaler ADC en Gateway, ook bekend als CitrixBleed2 en CVE-2025–5777, meteen te patchen. Vanuit Citrix NetScaler is nog altijd geen bevestiging van actief misbruik gekomen. Updates voor het probleem zijn sinds 17 juni beschikbaar.

NetScaler ADC (eerder bekend als Citrix ADC) is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway (eerder bekend als Citrix Gateway) kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd NetScaler-systeem kan dan ook groot zijn.

Via het CitrixBleed2-beveiligingslek kan een ongeauthenticeerde aanvaller op afstand gevoelige informatie direct uit het geheugen van de NetScaler-server lezen. Zo is het mogelijk om session tokens te stelen waarmee aanvallers toegang tot het systeem kunnen krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Er zijn inmiddels allerlei details over het probleem openbaar gemaakt, waaronder proof-of-concept exploitcode.

De Britse beveiligingsonderzoeker Kevin Beaumont liet eerder deze week weten dat aanvallers sinds 26 juni misbruik van de kwetsbaarheid maken. Eerder had ook securitybedrijf ReliaQuest laten weten dat het mogelijk misbruik had waargenomen. Nu bevestigt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat actief misbruik plaatsvindt.

Het CISA houdt een overzicht van actief aangevallen kwetsbaarheden bij, de Known Exploited Vulnerabilities (KEV) Catalog. Daarnaast kan het cyberagentschap Amerikaanse overheidsinstanties opdragen om kwetsbaarheden op deze lijst binnen een bepaalde tijd te patchen. Meestal wordt voor actief aangevallen beveiligingslekken een periode van drie weken aangehouden. In het geval van CVE-2025–5777 kwam CISA gisteren met de instructie dat overheidsinstanties de update uiterlijk vandaag geïnstalleerd moeten hebben.

"Aan de hand van NetFlow kan ik actieve slachtoffers waarnemen, waaronder systemen die eigendom van de Amerikaanse overheid zijn, dus hou je vast om te zien waar dit naar toe gaat", aldus Beaumont op Mastodon. Internetbedrijf Akamai laat weten dat het een toename ziet van scans waarbij naar kwetsbare Citrix NetScaler-servers wordt gezocht.