đŸ©ž CitrixBleed 2 : Quand ton VPN dĂ©cide de partager tes sessions comme des petits fours

“Le sang, c’est la vie.” – Dracula
“Le CitrixBleed, c’est la fin de ta session MFA.” – Un admin dĂ©bordĂ©

🧠 C’est quoi ce bazar encore ?

Tu viens de patcher le dernier CitrixBleed de 2023 ? FĂ©licitations, t’es Ă  jour
 jusqu’à hier. Bienvenue dans CitrixBleed 2, le sequel dont personne ne voulait. Une nouvelle vulnĂ©rabilitĂ© critique affecte les appliances NetScaler ADC et Gateway, ces petites boĂźtes noires qu’on colle en frontal d’accĂšs VPN, d’authentification SSO, de RDP, d’ICA, bref, de tout ce qui est vital pour ton tĂ©lĂ©travail.

Et comme dans tout bon film d’horreur, le mĂ©chant est toujours le mĂȘme : lecture hors limites de la mĂ©moire, permettant de voler des jetons de session actifs. Traduction ? Un attaquant non authentifiĂ© peut littĂ©ralement rĂ©cupĂ©rer la session d’un utilisateur connectĂ©, y compris si ce dernier a passĂ© une MFA. Oui, mĂȘme avec ton Yubikey Ă  80 balles.

🏱 Deux mots sur NetScaler

Avant de plonger dans le bain de sang, une pause culture :

NetScaler, c’est quoi ?

  • Un ADC (Application Delivery Controller) : ça fait de la rĂ©partition de charge, du SSL offload, du cache, du WAF, du trafic HTTPS optimisé 
  • Un Gateway VPN : SSL VPN, ICA proxy pour Citrix Virtual Apps, clientless VPN

  • Un reverse proxy avec SSO et MFA, pour tout ce qui est access web, RDP, etc.
  • Un serveur AAA pour authentifier Ă  peu prĂšs tout et n’importe quoi.

En gros, une boĂźte centrale qui concentre toutes les portes d’entrĂ©e de ton SI. Tu vois venir le problĂšme ?

đŸ’„ CitrixBleed 2 – La faille

🧬 Le petit nom : CVE‑2025‑5777

  • Type : Out-of-Bounds Read
  • GravitĂ© : CVSS 9.3/10
  • AccĂšs requis : Aucun
  • Impact : Jetons de session lisibles dans la mĂ©moire
  • Versions touchĂ©es :
    • 14.1 < 14.1‑43.56
    • 13.1 < 13.1‑58.32
    • 12.1 (encore en vie sous respirateur)

Ce bug permet Ă  un attaquant non authentifiĂ© de lire de la mĂ©moire brute. Et comme les jetons d’authentification (cookies de session, tokens JWT, etc.) traĂźnent dans cette mĂ©moire (coucou TLS), il n’y a plus qu’à les rĂ©cupĂ©rer et les injecter dans sa propre session navigateur.

RĂ©sultat ? Session hijacking. Tu prends le contrĂŽle de la session Citrix d’un utilisateur, comme si tu Ă©tais lui. Adieu la MFA, les logs, la sĂ©curitĂ©. Bonjour le Shadow Access.

đŸ§Ș L’exploit – Comment ça se joue

Les chercheurs de watchTowr ont montrĂ© qu’il suffisait :

  1. D’envoyer une requĂȘte malformĂ©e Ă  une URL vulnĂ©rable
  2. De recevoir une réponse contenant un bout de mémoire (oups)
  3. De filtrer cette mémoire à la recherche de jetons de session ou credentials en clair
  4. De rejouer ce token via un cookie HTTP
 et tadaa đŸ§™â€â™‚ïž

Et le pire ? Tout cela passe comme une lettre Ă  la poste. Aucun exploit compliquĂ©, pas de RCE, pas d’authentification. Un classic memory leak sauce Heartbleed – d’oĂč le nom “CitrixBleed 2”.

🧯 Les actions à mener (et vite)

🔧 Patch immĂ©diat :

Mets Ă  jour ton NetScaler :

  • 14.1‑43.56 ou plus
  • 13.1‑58.32 ou plus
  • 12.1‑55.328-FIPS si tu vis dangereusement

Pas de mise à jour = vulnérabilité exploitable.

đŸ”Ș Tue les sessions actives :

ExĂ©cute ces commandes aprĂšs le patch :

bashC
kill icaconnection -all
kill pcoipConnection -all

Pourquoi ? Parce que mĂȘme aprĂšs le patch, les sessions volĂ©es restent valides jusqu’à leur expiration. Tu ne veux pas ça.

đŸ•”ïžâ€â™€ïž Surveille ton trafic :

  • Inspecte les logs HTTP pour des requĂȘtes suspectes
  • Active un WAF (Web Application Firewall)
  • Trace les connexions anormales sur tes gateways VPN

🧰 Bonnes pratiques :

  • Supprime les versions EOL (13.0 et autres zombies)
  • Segmente ton rĂ©seau (oui, encore)
  • Surveille la mĂ©moire, mĂȘme si ça pique
  • MFA ? Oui, mais sans confiance aveugle

đŸ€Ą Le mot de la fin

Quand on installe une appliance censĂ©e sĂ©curiser l’accĂšs distant, on n’imagine pas qu’elle va distribuer les sessions actives comme des flyers au mĂ©tro. Et pourtant, nous voilĂ  ici, Ă  tuer manuellement des connexions parce qu’un attaquant peut « sniffer » de la mĂ©moire sans auth.

La morale ?

  • Le patching n’est pas optionnel
  • Un WAF ne fait pas tout
  • Et une session MFA peut saigner aussi

Allez, bon patch et bon kill de sessions. Et n’oublie pas de prĂ©venir ton RSSI avant qu’il tombe sur le tweet de Kevin Beaumont en panique.

đŸ©ž CitrixBleed 2 : Quand ton VPN dĂ©cide de partager tes sessions comme des petits fours
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut