On vous en parlait déjà hier, et on aurait aimé que ce soit une blague de mauvais goût. Mais non : CitrixBleed 2 est bien réel, et il vient mordre à nouveau dans vos portails NetScaler… cette fois sans même dire bonjour.
Bienvenue dans l’univers magique de CVE-2025-5777, où les attaquants volent vos cookies de session sans authentification, et où 56 000 instances vulnérables se baladent librement sur Internet, prêtes à se faire siphonner.
☠️ Rappel des faits : un air de déjà-vu
Souviens-toi, l’hiver dernier, le monde découvrait CitrixBleed. Une faille d’une élégance rare : voler des sessions en mémoire sans laisser de traces. On a vu des ransomware, des prises de contrôle d’administration, du pentest express… bref, c’était déjà un carnage.
Et là, Citrix remet le couvert, façon remake low-cost, mais avec un twist :
“Et si on enlevait aussi l’authentification pour rendre ça plus fun ?”
CVE-2025-5777 est une vulnérabilité zero-day dans NetScaler ADC et Gateway, qui permet à un attaquant non authentifié de voler les cookies de session actifs.
En d’autres termes :
pas besoin de mot de passe, pas besoin de bruteforce, pas besoin d’API. Juste une requête bien placée et… BAM, vous êtes dans la session admin.
🧠 Mais comment ça marche ?
Le bug est un classique mal géré côté gestion mémoire, probablement autour du traitement des requêtes SSL ou HTTP persistentes. L’attaquant intercepte un morceau de mémoire contenant des données sensibles (auth tokens, cookies…), les extrait, les rejoue sur une autre session, et accède comme si de rien n’était.
Rien de nouveau sous le soleil, sauf que cette fois :
- C’est zero-day, donc pas encore patché quand les attaques ont commencé.
- L’impact est massif : 56 000 instances détectées comme vulnérables.
- Les cookies sont admin-level dans pas mal de cas.
💡 Mais c’est signé, c’est propre !
Ironie du jour : on parle ici de NetScaler Gateway, utilisé dans les environnements sécurisés pour l’accès distant. VPN SSL, accès applicatif, SSO Citrix, etc. Bref : la porte d’entrée de votre SI quand vos utilisateurs sont en télétravail, en déplacement… ou en pleine tentative de restauration après ransomware.
Et si vous vous demandez si c’est exploitable dans la vraie vie ? Oui. On a vu des scanners déjà actifs, des PoC semi-privés circulant sur des forums, et au moins un groupe APT qui s’en frotte les mains.
🔥 C’est grave, docteur ?
Oh oui. Voici un petit florilège des conséquences potentielles :
- Usurpation d’identités sans mot de passe.
- Accès distant au SI sans déclencher d’alerte.
- Escalade vers Active Directory dans des environnements Citrix mal segmentés.
- Persistence silencieuse, car la session légitime est compromise sans que l’utilisateur ne le sache.
- Et bien sûr… déploiement de ransomware, parce que pourquoi pas.
🛡️ Que faire maintenant ?
✅ Si vous utilisez NetScaler :
- Appliquez immédiatement les patchs proposés par Citrix (et non, pas “à la prochaine MEP mensuelle”).
- Invalidation des sessions existantes : faites-le tout de suite. Les cookies volés sont encore valides.
- Surveillance des journaux pour les connexions suspectes sans MFA ou en dehors des heures normales.
- Segmentation et bastion pour les accès administratifs NetScaler.
- Revue complète de vos groupes d’accès via Gateway : qui a accès à quoi, et pourquoi ?
🧻 Une histoire sans fin ?
On commence sérieusement à se demander si les portails exposés ne devraient pas être bannis d’Internet par défaut. VPN, accès à distance, portails Citrix, portails OWA, interfaces de management : tous ces trucs-là sont devenus les cibles préférées de l’attaque initiale.
Et les vulnérabilités comme CitrixBleed 2 nous rappellent une chose essentielle :
La cybersécurité n’est pas un produit. C’est un processus.
Et si vous utilisez encore NetScaler sans bastion, sans reverse proxy, sans surveillance, vous jouez à la roulette russe avec des balles déjà dans le barillet.
🧾 En résumé
- CVE-2025-5777 = CitrixBleed 2
- Zero-day activement exploité
- Exfiltration de sessions sans login
- 56 000 instances vulnérables
- Patchs disponibles mais retardés chez beaucoup
- Rappel salutaire que le SSO, ce n’est pas “Single Point of Security”
