CitrixBleed2, ou CVE-2025-5777 pour les intimes du NIST, revient frapper fort. Après une première vague de panique en juin avec la découverte de cette faille critique dans Citrix NetScaler ADC et Gateway, voilà que les exploits publics débarquent. Et cette fois, ce n’est plus une simple preuve théorique réservée aux labos : les PoC (Proof-of-Concept)sont dans la nature, prêts à être recyclés en kits d’exploitation pour cybercriminels pressés.
🔥 L’alerte rouge devient cramoisie
Le scénario : un attaquant non authentifié vole les tokens de session utilisateur, avec potentiellement un accès immédiat à l’interface d’administration ou aux applications derrière la passerelle NetScaler.
Patch or die n’est plus un slogan. C’est un constat.
📌 Ce qu’on sait (et ce qu’on redoutait)
- La faille CVE-2025-5777 affecte les versions non patchées de Citrix NetScaler configurées comme Gateway (VPN) ou AAA virtual server.
- L’exploitation est triviale : pas besoin d’authentification, un simple curl bien placé suffit.
- Des chercheurs ont publié des scripts exploitant la faille, permettant de récupérer des cookies de session actifs.
- Impact : prise de contrôle de session, escalade de privilèges, pivot réseau… le pack complet.
🧠 Déjà vu ? Oui, et c’est encore plus inquiétant
On ne va pas tourner autour du load balancer : c’est la suite directe de CitrixBleed (CVE-2023-4966), qui avait déjà fait des ravages en fin 2023. On pensait que les leçons avaient été tirées. Mais non : même cause, mêmes effets. Citrix a pourtant publié un patch dès le 25 juin 2025. Le problème, comme toujours, c’est l’inertie des DSI.
Nos articles sur le sujet :
- Encore lui. NetScaler fait des siennes… même patché
- CitrixBleed 2 : Quand ton VPN décide de partager tes sessions comme des petits fours
- CitrixBleed 2 : le retour du vampire sans mot de passe
✋ Si votre NetScaler est accessible depuis Internet et non patché, considérez-le comme compromis.
✅ Que faire maintenant (sérieusement)
1. Appliquer le patch immédiatement
- Version minimale requise :
- NetScaler ADC & Gateway 13.1-51.15 ou supérieure
- 14.1-12.35 ou supérieure
2. Invalider toutes les sessions actives
- Les tokens volés ne sont pas magiques : les invalider coupe court à leur utilisation.
3. Analyser les logs
- Cherchez des requêtes suspectes sur les endpoints
/oauth/id_token,/vpn/index.html, ou tout accès anormal au backend.
4. Segmenter et cloisonner
- Une Gateway Citrix ne devrait jamais permettre un accès large sans revalidation. Si c’est le cas, revoyez vos flux.
🧪 Petit test maison
bash curl -k -X GET https://<votre-netscaler>/vpn/index.html # Observez les headers, cookies retournés ou comportements anormaux
⚠️ À ne tester que sur votre propre infra. Sinon, ce n’est pas de l’admin, c’est du pentest illégal.
📉 Pourquoi ça continue ?
Parce que les appliances réseau sont toujours perçues comme des boîtes noires intouchables. Parce que les mises à jour sur des produits critiques comme NetScaler font peur. Et surtout, parce qu’on ne monitorise pas les flux internes comme on le fait avec le frontal web.
Le vrai CitrixBleed, ce n’est pas la faille, c’est la gouvernance SSI.
🗂️ Ressources utiles
- 🔗 Bulletin officiel Citrix
- 🔍 PoC public GitHub (à vos risques)
- 🧵 Thread X/Twitter de Kevin Beaumont : « CitrixBleed2 is the same movie, just in 4K now. »
À retenir : si vous n’avez pas encore patché, vous êtes peut-être déjà compromis. Et si vous l’avez fait, mais sans invalider les sessions ou revoir les flux, le boulot est à moitié fait.
CitrixBleed2 est un rappel brutal : l’administration réseau sans hygiène de cybersécurité, c’est de la plomberie avec des gants de boxe.
