TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
บริษัทความปลอดภัย ReliaQuest เตือนพบหลักฐานการโจมตีผ่านช่องโหว่ Critical ที่ได้ชื่อว่า “Citrix Bleed 2” (CVE-2025-5777) บน NetScaler ADC และ Gateway หลังพบ session ที่น่าสงสัยเพิ่มขึ้นบนอุปกรณ์ Citrix
ช่องโหว่ CVE-2025-5777 เป็นประเภท out-of-bounds memory read ที่ทำให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถเข้าถึงส่วนของ memory ที่ปกติไม่ควรเข้าถึงได้ ส่งผลให้สามารถขโมย session tokens, credentials และข้อมูลสำคัญอื่นๆ จาก public-facing gateway และ virtual server นำไปสู่การแย่งชิง session ของผู้ใช้งานและหลบเลี่ยง Multi-Factor Authentication (MFA) ได้ แม้ว่า Citrix จะออกแพตช์ไปแล้วเมื่อวันที่ 17 มิถุนายน 2025 โดยไม่มีรายงานการโจมตี แต่ Kevin Beaumont นักวิจัยด้านความปลอดภัยได้เตือนถึงความเป็นไปได้สูงที่จะถูกใช้โจมตีเมื่อต้นสัปดาห์ที่ผ่านมา
ReliaQuest ระบุด้วยความมั่นใจระดับกลางว่าช่องโหว่นี้กำลังถูกใช้ในการโจมตีเป้าหมายอย่างจริงจัง โดยพบพฤติกรรมต่อไปนี้ในการโจมตีจริง ได้แก่ session ของ Citrix ถูกแย่งชิงโดยได้รับสิทธิ์เข้าถึงโดยไม่ต้องมีการโต้ตอบจากผู้ใช้งาน แสดงว่าผู้โจมตีหลบเลี่ยง MFA ด้วย session token ที่ขโมยมา, ผู้โจมตีใช้ session เดียวกันจาก IP address ทั้งที่ถูกต้องและน่าสงสัย บ่งชี้ถึงการแย่งชิงและ replay session จากแหล่งที่ไม่ได้รับอนุญาต, มีการ query LDAP หลังจากเข้าถึงระบบ แสดงว่าผู้โจมตีทำ Active Directory reconnaissance เพื่อดูข้อมูล users, groups และ permissions, พบการรัน ADExplorer64.exe หลายครั้งข้ามระบบต่างๆ บ่งชี้ถึงการสำรวจ domain อย่างเป็นระบบ และ session ของ Citrix มาจาก IP ของ data center ที่เชื่อมโยงกับผู้ให้บริการ VPN อย่าง DataCamp แสดงว่าผู้โจมตีพยายามปกปิดตัวตนผ่านโครงสร้างพื้นฐานที่ไม่ระบุตัวตน
ผู้ดูแลระบบควรอัปเกรดเป็นเวอร์ชัน 14.1-43.56+, 13.1-58.32+ หรือ 13.1-FIPS/NDcPP 13.1-37.235+ เพื่อแก้ไขช่องโหว่นี้ หลังจากติดตั้งเฟิร์มแวร์ล่าสุดแล้ว ควรยุติ session ของ ICA และ PCoIP ทั้งหมดเนื่องจากอาจถูกแย่งชิงไปแล้ว โดยตรวจสอบ session ที่น่าสงสัยก่อนด้วยคำสั่ง show icaconnection และที่ NetScaler Gateway > PCoIP > Connections จากนั้นใช้คำสั่ง kill icaconnection -all และ kill pcoipconnection -all เพื่อยุติ session ทั้งหมด หากไม่สามารถติดตั้งการอัปเดตได้ทันที ควรจำกัดการเข้าถึง NetScaler จากภายนอกผ่าน network ACL หรือ firewall rules นอกจากนี้ยังมีช่องโหว่อีกตัวคือ CVE-2025-6543 ที่กำลังถูกใช้โจมตีเพื่อทำให้เกิด denial of service บนอุปกรณ์ NetScaler ซึ่ง Citrix ระบุว่าอยู่ใน module เดียวกันกับ CVE-2025-5777 แต่เป็น bug อีกตัว
