พบการโจมตีช่องโหว่ Citrix Bleed 2 บน NetScaler ADC และ Gateway

June 28, 2025 Citrix, Cybersecurity, Products, Threats Update

บริษัทความปลอดภัย ReliaQuest เตือนพบหลักฐานการโจมตีผ่านช่องโหว่ Critical ที่ได้ชื่อว่า “Citrix Bleed 2” (CVE-2025-5777) บน NetScaler ADC และ Gateway หลังพบ session ที่น่าสงสัยเพิ่มขึ้นบนอุปกรณ์ Citrix

ช่องโหว่ CVE-2025-5777 เป็นประเภท out-of-bounds memory read ที่ทำให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถเข้าถึงส่วนของ memory ที่ปกติไม่ควรเข้าถึงได้ ส่งผลให้สามารถขโมย session tokens, credentials และข้อมูลสำคัญอื่นๆ จาก public-facing gateway และ virtual server นำไปสู่การแย่งชิง session ของผู้ใช้งานและหลบเลี่ยง Multi-Factor Authentication (MFA) ได้ แม้ว่า Citrix จะออกแพตช์ไปแล้วเมื่อวันที่ 17 มิถุนายน 2025 โดยไม่มีรายงานการโจมตี แต่ Kevin Beaumont นักวิจัยด้านความปลอดภัยได้เตือนถึงความเป็นไปได้สูงที่จะถูกใช้โจมตีเมื่อต้นสัปดาห์ที่ผ่านมา

ReliaQuest ระบุด้วยความมั่นใจระดับกลางว่าช่องโหว่นี้กำลังถูกใช้ในการโจมตีเป้าหมายอย่างจริงจัง โดยพบพฤติกรรมต่อไปนี้ในการโจมตีจริง ได้แก่ session ของ Citrix ถูกแย่งชิงโดยได้รับสิทธิ์เข้าถึงโดยไม่ต้องมีการโต้ตอบจากผู้ใช้งาน แสดงว่าผู้โจมตีหลบเลี่ยง MFA ด้วย session token ที่ขโมยมา, ผู้โจมตีใช้ session เดียวกันจาก IP address ทั้งที่ถูกต้องและน่าสงสัย บ่งชี้ถึงการแย่งชิงและ replay session จากแหล่งที่ไม่ได้รับอนุญาต, มีการ query LDAP หลังจากเข้าถึงระบบ แสดงว่าผู้โจมตีทำ Active Directory reconnaissance เพื่อดูข้อมูล users, groups และ permissions, พบการรัน ADExplorer64.exe หลายครั้งข้ามระบบต่างๆ บ่งชี้ถึงการสำรวจ domain อย่างเป็นระบบ และ session ของ Citrix มาจาก IP ของ data center ที่เชื่อมโยงกับผู้ให้บริการ VPN อย่าง DataCamp แสดงว่าผู้โจมตีพยายามปกปิดตัวตนผ่านโครงสร้างพื้นฐานที่ไม่ระบุตัวตน

ผู้ดูแลระบบควรอัปเกรดเป็นเวอร์ชัน 14.1-43.56+, 13.1-58.32+ หรือ 13.1-FIPS/NDcPP 13.1-37.235+ เพื่อแก้ไขช่องโหว่นี้ หลังจากติดตั้งเฟิร์มแวร์ล่าสุดแล้ว ควรยุติ session ของ ICA และ PCoIP ทั้งหมดเนื่องจากอาจถูกแย่งชิงไปแล้ว โดยตรวจสอบ session ที่น่าสงสัยก่อนด้วยคำสั่ง show icaconnection และที่ NetScaler Gateway > PCoIP > Connections จากนั้นใช้คำสั่ง kill icaconnection -all และ kill pcoipconnection -all เพื่อยุติ session ทั้งหมด หากไม่สามารถติดตั้งการอัปเดตได้ทันที ควรจำกัดการเข้าถึง NetScaler จากภายนอกผ่าน network ACL หรือ firewall rules นอกจากนี้ยังมีช่องโหว่อีกตัวคือ CVE-2025-6543 ที่กำลังถูกใช้โจมตีเพื่อทำให้เกิด denial of service บนอุปกรณ์ NetScaler ซึ่ง Citrix ระบุว่าอยู่ใน module เดียวกันกับ CVE-2025-5777 แต่เป็น bug อีกตัว

ที่มา: https://www.bleepingcomputer.com/news/security/citrix-bleed-2-flaw-now-believed-to-be-exploited-in-attacks/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

AWS เพิ่มฟีเจอร์ชำระเงินสำหรับเอเจนต์บน Amazon Bedrock AgentCore

Amazon Web Services หรือ AWS เปิดตัวชุดฟีเจอร์ใหม่เพื่อให้เอเจนต์ปัญญาประดิษฐ์สามารถทำการซื้อสินค้าและบริการได้ด้วยตนเอง

OpenAI เปิดตัว GPT-5.5-Cyber โมเดลสำหรับการรักษาความมั่นคงปลอดภัยไซเบอร์โดยเฉพาะ

OpenAI ได้ออกมาประกาศเปิดตัว GPT-5.5-Cyber ในระดับ Limited Preview เพื่อให้เหล่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ได้นำไปใช้งานด้าน Cybersecurity กันโดยเฉพาะ

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand