Cybercriminelen maken op grote schaal misbruik van de kwetsbaarheid CitrixBleed 2 (CVE-2025-5777), zo waarschuwt de Britse beveiligingsonderzoeker Kevin Beaumont. Sinds juni voeren aanvallers uit zowel China als Rusland aanvallen uit via dit beveiligingslek. Citrix heeft inmiddels erkend dat de kwetsbaarheid actief wordt aangevallen.

CitrixBleed 2 is een kwetsbaarheid in NetScaler ADC en NetScaler Gateway. Door het versturen van een speciaal HTTP-verzoek kunnen aanvallers delen van het geheugen van een NetScaler-apparaat uitlezen. Dit maakt het onder meer mogelijk de sessietokens van een gebruiker te stelen en zo toegang te verkrijgen tot accounts.

Onlangs waarschuwde securitybedrijf ReliaQuest al voor actief misbruik van CitrixBleed 2. Citrix meldde toen niet bekend te zijn met misbruik van CVE 2025-5777. Beaumont wijst erop dat het bedrijf inmiddels 'stilletjes misbruik in het wild heeft toegegeven'. Zo zou het bedrijf een eerder gepubliceerde blogpost hebben aangepast zonder daar iets over te melden op hun beveiligingsupdatepagina."

Beaumont waarschuwt daarnaast dat de aanvallen lastig te detecteren zijn. "De reden is simpel: de exploit laat nauwelijks sporen achter in de standaard NetScaler-logbestanden," legt hij uit. "Veel organisaties zullen daardoor niet weten wat er precies is gebeurd. Het enige wat ze waarschijnlijk kunnen controleren zijn verdachte IP-adressen."