พบการโจมตีช่องโหว่ Citrix Bleed 2 บน NetScaler ADC และ Gateway

บริษัทความปลอดภัย ReliaQuest เตือนพบหลักฐานการโจมตีผ่านช่องโหว่ Critical ที่ได้ชื่อว่า “Citrix Bleed 2” (CVE-2025-5777) บน NetScaler ADC และ Gateway หลังพบ session ที่น่าสงสัยเพิ่มขึ้นบนอุปกรณ์ Citrix

ช่องโหว่ CVE-2025-5777 เป็นประเภท out-of-bounds memory read ที่ทำให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถเข้าถึงส่วนของ memory ที่ปกติไม่ควรเข้าถึงได้ ส่งผลให้สามารถขโมย session tokens, credentials และข้อมูลสำคัญอื่นๆ จาก public-facing gateway และ virtual server นำไปสู่การแย่งชิง session ของผู้ใช้งานและหลบเลี่ยง Multi-Factor Authentication (MFA) ได้ แม้ว่า Citrix จะออกแพตช์ไปแล้วเมื่อวันที่ 17 มิถุนายน 2025 โดยไม่มีรายงานการโจมตี แต่ Kevin Beaumont นักวิจัยด้านความปลอดภัยได้เตือนถึงความเป็นไปได้สูงที่จะถูกใช้โจมตีเมื่อต้นสัปดาห์ที่ผ่านมา

ReliaQuest ระบุด้วยความมั่นใจระดับกลางว่าช่องโหว่นี้กำลังถูกใช้ในการโจมตีเป้าหมายอย่างจริงจัง โดยพบพฤติกรรมต่อไปนี้ในการโจมตีจริง ได้แก่ session ของ Citrix ถูกแย่งชิงโดยได้รับสิทธิ์เข้าถึงโดยไม่ต้องมีการโต้ตอบจากผู้ใช้งาน แสดงว่าผู้โจมตีหลบเลี่ยง MFA ด้วย session token ที่ขโมยมา, ผู้โจมตีใช้ session เดียวกันจาก IP address ทั้งที่ถูกต้องและน่าสงสัย บ่งชี้ถึงการแย่งชิงและ replay session จากแหล่งที่ไม่ได้รับอนุญาต, มีการ query LDAP หลังจากเข้าถึงระบบ แสดงว่าผู้โจมตีทำ Active Directory reconnaissance เพื่อดูข้อมูล users, groups และ permissions, พบการรัน ADExplorer64.exe หลายครั้งข้ามระบบต่างๆ บ่งชี้ถึงการสำรวจ domain อย่างเป็นระบบ และ session ของ Citrix มาจาก IP ของ data center ที่เชื่อมโยงกับผู้ให้บริการ VPN อย่าง DataCamp แสดงว่าผู้โจมตีพยายามปกปิดตัวตนผ่านโครงสร้างพื้นฐานที่ไม่ระบุตัวตน

ผู้ดูแลระบบควรอัปเกรดเป็นเวอร์ชัน 14.1-43.56+, 13.1-58.32+ หรือ 13.1-FIPS/NDcPP 13.1-37.235+ เพื่อแก้ไขช่องโหว่นี้ หลังจากติดตั้งเฟิร์มแวร์ล่าสุดแล้ว ควรยุติ session ของ ICA และ PCoIP ทั้งหมดเนื่องจากอาจถูกแย่งชิงไปแล้ว โดยตรวจสอบ session ที่น่าสงสัยก่อนด้วยคำสั่ง show icaconnection และที่ NetScaler Gateway > PCoIP > Connections จากนั้นใช้คำสั่ง kill icaconnection -all และ kill pcoipconnection -all เพื่อยุติ session ทั้งหมด หากไม่สามารถติดตั้งการอัปเดตได้ทันที ควรจำกัดการเข้าถึง NetScaler จากภายนอกผ่าน network ACL หรือ firewall rules นอกจากนี้ยังมีช่องโหว่อีกตัวคือ CVE-2025-6543 ที่กำลังถูกใช้โจมตีเพื่อทำให้เกิด denial of service บนอุปกรณ์ NetScaler ซึ่ง Citrix ระบุว่าอยู่ใน module เดียวกันกับ CVE-2025-5777 แต่เป็น bug อีกตัว

ที่มา: https://www.bleepingcomputer.com/news/security/citrix-bleed-2-flaw-now-believed-to-be-exploited-in-attacks/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้