Cộng đồng an ninh mạng đang đặc biệt quan tâm đến CVE-2025-5777, còn được gọi không chính thức là “CitrixBleed 2”, một lỗ hổng đọc bộ nhớ ngoài giới hạn (out-of-bounds memory read) ảnh hưởng đến các thiết bị Citrix NetScaler ADC và Gateway. Lỗ hổng này gây ra rủi ro bảo mật nghiêm trọng, cho phép kẻ tấn công truy cập vào các thông tin nhạy cảm.
CVE-2025-5777: Lỗ Hổng CitrixBleed 2 và Cơ Chế Khai Thác
Bản Chất và Tác Động
Lỗ hổng CVE-2025-5777 này, tương tự như CVE-2023-4966 khét tiếng từ năm 2023, cho phép những kẻ tấn công không xác thực rò rỉ nội dung bộ nhớ nhạy cảm. Các thông tin bị lộ bao gồm mã thông báo phiên (session tokens) và thông tin xác thực (authentication credentials). Việc này được thực hiện thông qua các yêu cầu HTTP POST được định dạng sai (malformed) đến điểm cuối /p/u/doAuthentication.do. Với điểm CVSS 9.3, lỗ hổng này xuất phát từ việc xác thực đầu vào không đầy đủ (insufficient input validation) và sử dụng biến chưa được khởi tạo (uninitialized variable usage), được phân loại theo CWE-457.
Cơ Chế Khai Thác
Việc khai thác có thể được thực hiện thông qua các payload đơn giản, chẳng hạn như tham số “login” không hoàn chỉnh. Điều này kích hoạt việc tiết lộ dữ liệu còn lại (residual data) trong bộ nhớ, bao gồm cookie NSC_USER, mã thông báo SAML và thậm chí cả các phiên quản trị “nsroot”.
Tình Hình Khai Thác và Mối Đe Dọa Hiện Hữu
Thời Gian và Phản Ứng Cộng Đồng
Lỗ hổng được công bố vào ngày 17 tháng 6 năm 2025 và đã được vá ngay sau đó. Tuy nhiên, CVE-2025-5777 đã bị khai thác tích cực ngay lập tức, khiến CISA phải bổ sung nó vào danh mục các lỗ hổng đã bị khai thác (Known Exploited Vulnerabilities) vào ngày 10 tháng 7 năm 2025.
Phạm Vi Ảnh Hưởng Rộng Lớn
Các nhà nghiên cứu từ ReliaQuest và GreyNoise đã ghi nhận các tấn công mạng bắt đầu từ đầu tháng 7, bao gồm cả mối liên hệ với các nhóm mã độc tống tiền (ransomware) như RansomHub. Quá trình quét của Censys đã xác định được gần 70.000 trường hợp bị phơi bày trên internet. Việc phơi nhiễm rộng rãi này làm tăng thêm mối đe dọa, vì các thiết bị NetScaler thường đóng vai trò là cổng VPN, bộ cân bằng tải (load balancers) và proxy xác thực trong môi trường doanh nghiệp. Điều này có khả năng dẫn đến việc chiếm quyền điều khiển phiên (session hijacking) và bỏ qua xác thực đa yếu tố (MFA bypass) mà không cần chuỗi tấn công phức tạp.
Chiến Lược Phát Hiện Xâm Nhập và Phản Ứng với Splunk
Tích Hợp Dữ Liệu và Truy Vấn Cơ Bản
Để xây dựng hệ thống phòng thủ vững chắc, các tổ chức có thể tận dụng Splunk. Việc tích hợp nhật ký kiểm toán (audit logs) của NetScaler thông qua Splunk Add-on for Citrix NetScaler chính thức cho phép phân tích chi tiết các sự kiện để phát hiện các chỉ số khai thác (exploitation indicators). Các truy vấn phát hiện chính tập trung vào các yêu cầu POST bất thường đến điểm cuối dễ bị tổn thương, chẳng hạn như những yêu cầu có tham số “login” được định dạng sai. Sử dụng trích xuất spath của Splunk để phân tích URI, phương thức (method) và nội dung yêu cầu (request body) nhằm tìm kiếm các mẫu như login\s*$ hoặc các cấu trúc không hoàn chỉnh. Các nỗ lực tấn công được tổng hợp theo địa chỉ IP nguồn và dấu thời gian để cảnh báo nhanh chóng.
Phân Tích Nâng Cao và Phát Hiện Bất Thường
Phân tích nâng cao mở rộng đến mô hình dữ liệu Web, sử dụng tstats để truy vấn hiệu quả các phương thức HTTP, URL và mã trạng thái (status codes) cho thấy dấu hiệu rò rỉ bộ nhớ thành công. Việc phát hiện chiếm quyền điều khiển phiên giám sát sự không khớp địa chỉ IP, việc bỏ qua MFA hoặc người dùng truy cập từ nhiều địa chỉ IP khác nhau. Các hành vi rủi ro cao được gắn cờ khi số lượng unique_ips vượt quá ngưỡng, ví dụ như 5.
Các truy vấn phát hiện bất thường xác thực theo dõi các nỗ lực truy cập quá mức từ một máy khách duy nhất. Đặc biệt quan trọng, việc phát hiện rò rỉ bộ nhớ quét các ký tự không in được trong thẻ XML <InitialValue>. Điều này yêu cầu cấu hình ghi nhật ký mức gỡ lỗi (debug-level logging) trên NetScaler, chẳng hạn như bật nslogAction với DEBUG logLevel và gắn các chính sách kiểm toán (audit policies) để thu thập phản hồi HTTP toàn diện.
Biện Pháp Giảm Thiểu và Phòng Ngừa
Cập Nhật Bản Vá và Hủy Phiên
Để giảm thiểu rủi ro bảo mật, việc cập nhật bản vá ngay lập tức lên các phiên bản như 14.1-43.56 hoặc 13.1-58.32 là rất cần thiết. Sau đó, cần thực hiện các lệnh hủy phiên để vô hiệu hóa các mã thông báo bị đánh cắp. Ví dụ:
kill icaconnection -allNgoài ra, cần thực hiện kiểm tra các dấu vết sau khai thác (post-exploitation artifacts) như backdoor hoặc thay đổi cấu hình để đảm bảo an toàn thông tin của hệ thống.
Phòng Thủ Dựa Trên Mạng
Các biện pháp phòng thủ dựa trên mạng, bao gồm quy tắc Snort SID:65120, cung cấp khả năng phát hiện dựa trên chữ ký (signature detection) cho các yêu cầu được định dạng sai. Học hỏi từ việc vũ khí hóa nhanh chóng của CitrixBleed gốc, việc quản lý phiên chủ động và lập kế hoạch ứng phó sự cố là cực kỳ quan trọng để bảo vệ hệ thống bị xâm nhập tiềm tàng. Bằng cách triển khai các chiến lược dựa trên Splunk này, các nhà phòng thủ có thể đối phó hiệu quả với lỗ hổng đang bị khai thác tích cực này, giảm thiểu rủi ro về các vi phạm rộng lớn trong cơ sở hạ tầng xác thực.
