พบการโจมตีช่องโหว่ Citrix Bleed 2 บน NetScaler ADC และ Gateway

June 28, 2025 Citrix, Cybersecurity, Products, Threats Update

บริษัทความปลอดภัย ReliaQuest เตือนพบหลักฐานการโจมตีผ่านช่องโหว่ Critical ที่ได้ชื่อว่า “Citrix Bleed 2” (CVE-2025-5777) บน NetScaler ADC และ Gateway หลังพบ session ที่น่าสงสัยเพิ่มขึ้นบนอุปกรณ์ Citrix

ช่องโหว่ CVE-2025-5777 เป็นประเภท out-of-bounds memory read ที่ทำให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถเข้าถึงส่วนของ memory ที่ปกติไม่ควรเข้าถึงได้ ส่งผลให้สามารถขโมย session tokens, credentials และข้อมูลสำคัญอื่นๆ จาก public-facing gateway และ virtual server นำไปสู่การแย่งชิง session ของผู้ใช้งานและหลบเลี่ยง Multi-Factor Authentication (MFA) ได้ แม้ว่า Citrix จะออกแพตช์ไปแล้วเมื่อวันที่ 17 มิถุนายน 2025 โดยไม่มีรายงานการโจมตี แต่ Kevin Beaumont นักวิจัยด้านความปลอดภัยได้เตือนถึงความเป็นไปได้สูงที่จะถูกใช้โจมตีเมื่อต้นสัปดาห์ที่ผ่านมา

ReliaQuest ระบุด้วยความมั่นใจระดับกลางว่าช่องโหว่นี้กำลังถูกใช้ในการโจมตีเป้าหมายอย่างจริงจัง โดยพบพฤติกรรมต่อไปนี้ในการโจมตีจริง ได้แก่ session ของ Citrix ถูกแย่งชิงโดยได้รับสิทธิ์เข้าถึงโดยไม่ต้องมีการโต้ตอบจากผู้ใช้งาน แสดงว่าผู้โจมตีหลบเลี่ยง MFA ด้วย session token ที่ขโมยมา, ผู้โจมตีใช้ session เดียวกันจาก IP address ทั้งที่ถูกต้องและน่าสงสัย บ่งชี้ถึงการแย่งชิงและ replay session จากแหล่งที่ไม่ได้รับอนุญาต, มีการ query LDAP หลังจากเข้าถึงระบบ แสดงว่าผู้โจมตีทำ Active Directory reconnaissance เพื่อดูข้อมูล users, groups และ permissions, พบการรัน ADExplorer64.exe หลายครั้งข้ามระบบต่างๆ บ่งชี้ถึงการสำรวจ domain อย่างเป็นระบบ และ session ของ Citrix มาจาก IP ของ data center ที่เชื่อมโยงกับผู้ให้บริการ VPN อย่าง DataCamp แสดงว่าผู้โจมตีพยายามปกปิดตัวตนผ่านโครงสร้างพื้นฐานที่ไม่ระบุตัวตน

ผู้ดูแลระบบควรอัปเกรดเป็นเวอร์ชัน 14.1-43.56+, 13.1-58.32+ หรือ 13.1-FIPS/NDcPP 13.1-37.235+ เพื่อแก้ไขช่องโหว่นี้ หลังจากติดตั้งเฟิร์มแวร์ล่าสุดแล้ว ควรยุติ session ของ ICA และ PCoIP ทั้งหมดเนื่องจากอาจถูกแย่งชิงไปแล้ว โดยตรวจสอบ session ที่น่าสงสัยก่อนด้วยคำสั่ง show icaconnection และที่ NetScaler Gateway > PCoIP > Connections จากนั้นใช้คำสั่ง kill icaconnection -all และ kill pcoipconnection -all เพื่อยุติ session ทั้งหมด หากไม่สามารถติดตั้งการอัปเดตได้ทันที ควรจำกัดการเข้าถึง NetScaler จากภายนอกผ่าน network ACL หรือ firewall rules นอกจากนี้ยังมีช่องโหว่อีกตัวคือ CVE-2025-6543 ที่กำลังถูกใช้โจมตีเพื่อทำให้เกิด denial of service บนอุปกรณ์ NetScaler ซึ่ง Citrix ระบุว่าอยู่ใน module เดียวกันกับ CVE-2025-5777 แต่เป็น bug อีกตัว

ที่มา: https://www.bleepingcomputer.com/news/security/citrix-bleed-2-flaw-now-believed-to-be-exploited-in-attacks/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Extreme Networks เปิดตัว Wi-Fi 7 AP รุ่นใหม่ พร้อม Agentic AI สำหรับบริหารจัดการระบบเครือข่ายแบบอัตโนมัติ

Extreme Networks ได้ออกมาประกาศถึงอัปเดตครั้งใหญ่ โดยเปิดตัว Wi-Fi 7 Access Point รุ่นใหม่ล่าสุด 5 รุ่น พร้อมนวัตกรรมใหม่ในการบริหารจัดการระบบเครือข่ายด้วย AI Agent เพื่อดูแลรักษาระบบเครือข่ายขององค์กรให้ทำงานได้อย่างต่อเนื่องโดยอัตโนมัติ

Omnissa เปิดตัว Workspace ONE UEM 2604 บริหารจัดการ Windows Server ได้แล้ว เพิ่มความสามารถใหม่ๆ มากมาย

Omnissa ได้ออกมาเปิดตัว Release ใหม่ล่าสุด 2604 โดยถือเป็นหนึ่งในการอัปเดตครั้งใหญ่ที่สุด ด้วยความสามารถใหม่ๆ มากมาย ดังนี้

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand