đŸ©ž CitrixBleed 2 : le retour du vampire sans mot de passe

On vous en parlait dĂ©jĂ  hier, et on aurait aimĂ© que ce soit une blague de mauvais goĂ»t. Mais non : CitrixBleed 2 est bien rĂ©el, et il vient mordre Ă  nouveau dans vos portails NetScaler
 cette fois sans mĂȘme dire bonjour.

Bienvenue dans l’univers magique de CVE-2025-5777, oĂč les attaquants volent vos cookies de session sans authentification, et oĂč 56 000 instances vulnĂ©rables se baladent librement sur Internet, prĂȘtes Ă  se faire siphonner.

☠ Rappel des faits : un air de dĂ©jĂ -vu

Souviens-toi, l’hiver dernier, le monde dĂ©couvrait CitrixBleed. Une faille d’une Ă©lĂ©gance rare : voler des sessions en mĂ©moire sans laisser de traces. On a vu des ransomware, des prises de contrĂŽle d’administration, du pentest express
 bref, c’était dĂ©jĂ  un carnage.

Et lĂ , Citrix remet le couvert, façon remake low-cost, mais avec un twist :

“Et si on enlevait aussi l’authentification pour rendre ça plus fun ?”

CVE-2025-5777 est une vulnĂ©rabilitĂ© zero-day dans NetScaler ADC et Gateway, qui permet Ă  un attaquant non authentifiĂ© de voler les cookies de session actifs.

En d’autres termes :
pas besoin de mot de passe, pas besoin de bruteforce, pas besoin d’API. Juste une requĂȘte bien placĂ©e et
 BAM, vous ĂȘtes dans la session admin.

🧠 Mais comment ça marche ?

Le bug est un classique mal gĂ©rĂ© cĂŽtĂ© gestion mĂ©moire, probablement autour du traitement des requĂȘtes SSL ou HTTP persistentes. L’attaquant intercepte un morceau de mĂ©moire contenant des donnĂ©es sensibles (auth tokens, cookies
), les extrait, les rejoue sur une autre session, et accĂšde comme si de rien n’était.

Rien de nouveau sous le soleil, sauf que cette fois :

  • C’est zero-day, donc pas encore patchĂ© quand les attaques ont commencĂ©.
  • L’impact est massif : 56 000 instances dĂ©tectĂ©es comme vulnĂ©rables.
  • Les cookies sont admin-level dans pas mal de cas.

💡 Mais c’est signĂ©, c’est propre !

Ironie du jour : on parle ici de NetScaler Gateway, utilisĂ© dans les environnements sĂ©curisĂ©s pour l’accĂšs distant. VPN SSL, accĂšs applicatif, SSO Citrix, etc. Bref : la porte d’entrĂ©e de votre SI quand vos utilisateurs sont en tĂ©lĂ©travail, en dĂ©placement
 ou en pleine tentative de restauration aprĂšs ransomware.

Et si vous vous demandez si c’est exploitable dans la vraie vie ? Oui. On a vu des scanners dĂ©jĂ  actifs, des PoC semi-privĂ©s circulant sur des forums, et au moins un groupe APT qui s’en frotte les mains.

đŸ”„ C’est grave, docteur ?

Oh oui. Voici un petit florilÚge des conséquences potentielles :

  • Usurpation d’identitĂ©s sans mot de passe.
  • AccĂšs distant au SI sans dĂ©clencher d’alerte.
  • Escalade vers Active Directory dans des environnements Citrix mal segmentĂ©s.
  • Persistence silencieuse, car la session lĂ©gitime est compromise sans que l’utilisateur ne le sache.
  • Et bien sĂ»r
 dĂ©ploiement de ransomware, parce que pourquoi pas.

đŸ›Ąïž Que faire maintenant ?

✅ Si vous utilisez NetScaler :

  • Appliquez immĂ©diatement les patchs proposĂ©s par Citrix (et non, pas “à la prochaine MEP mensuelle”).
  • Invalidation des sessions existantes : faites-le tout de suite. Les cookies volĂ©s sont encore valides.
  • Surveillance des journaux pour les connexions suspectes sans MFA ou en dehors des heures normales.
  • Segmentation et bastion pour les accĂšs administratifs NetScaler.
  • Revue complĂšte de vos groupes d’accĂšs via Gateway : qui a accĂšs Ă  quoi, et pourquoi ?

đŸ§» Une histoire sans fin ?

On commence sĂ©rieusement Ă  se demander si les portails exposĂ©s ne devraient pas ĂȘtre bannis d’Internet par dĂ©faut. VPN, accĂšs Ă  distance, portails Citrix, portails OWA, interfaces de management : tous ces trucs-lĂ  sont devenus les cibles prĂ©fĂ©rĂ©es de l’attaque initiale.

Et les vulnérabilités comme CitrixBleed 2 nous rappellent une chose essentielle :

La cybersĂ©curitĂ© n’est pas un produit. C’est un processus.
Et si vous utilisez encore NetScaler sans bastion, sans reverse proxy, sans surveillance, vous jouez Ă  la roulette russe avec des balles dĂ©jĂ  dans le barillet.

đŸ§Ÿ En rĂ©sumĂ©

  • CVE-2025-5777 = CitrixBleed 2
  • Zero-day activement exploitĂ©
  • Exfiltration de sessions sans login
  • 56 000 instances vulnĂ©rables
  • Patchs disponibles mais retardĂ©s chez beaucoup
  • Rappel salutaire que le SSO, ce n’est pas “Single Point of Security”
đŸ©ž CitrixBleed 2 : le retour du vampire sans mot de passe
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut