Tổng quan về CVE-2025-5777 (CitrixBleed2)
Các nhà nghiên cứu bảo mật đã công bố bằng chứng khai thác (proof-of-concept – PoC) cho CVE-2025-5777, một lỗ hổng nghiêm trọng được mệnh danh là “CitrixBleed2”, ảnh hưởng đến các thiết bị Citrix NetScaler ADC và Gateway. Lỗ hổng này cho phép những kẻ tấn công không được xác thực trích xuất dữ liệu nhạy cảm từ bộ nhớ thiết bị. Đặc biệt, nó có thể làm rò rỉ các mã phiên (session tokens) mà kẻ tấn công có thể sử dụng để vượt qua cơ chế xác thực đa yếu tố (MFA).
CVE-2025-5777 là một lỗ hổng tiết lộ bộ nhớ (memory disclosure vulnerability) với điểm CVSS 9.3, xếp vào mức độ nghiêm trọng Critical. Nó ảnh hưởng đến các thiết bị NetScaler được cấu hình dưới dạng Gateway (bao gồm VPN virtual server, ICA Proxy, CVPN, RDP Proxy) hoặc các máy chủ ảo AAA.
Chi tiết kỹ thuật của lỗ hổng
Nguyên nhân gốc rễ và cơ chế khai thác
Lỗ hổng này bắt nguồn từ việc xác thực đầu vào không đầy đủ (insufficient input validation) trong quá trình xử lý yêu cầu HTTP POST. Cụ thể, khi các yêu cầu đăng nhập bị định dạng sai (malformed login requests) được gửi mà không có các tham số thích hợp, hệ thống NetScaler không xử lý chúng một cách an toàn, dẫn đến rò rỉ bộ nhớ.
Khai thác lỗ hổng này được thực hiện bằng cách nhắm mục tiêu vào endpoint /p/u/doAuthentication.do với các yêu cầu được chế tạo đặc biệt. Trong các yêu cầu này, tham số login được gửi mà không có dấu bằng hoặc giá trị đi kèm. Thay vì báo lỗi hoặc xử lý yêu cầu một cách an toàn, thiết bị NetScaler sẽ phản hồi với khoảng 127 byte dữ liệu bộ nhớ tùy ý (arbitrary memory data) cho mỗi yêu cầu. Dữ liệu này có thể bao gồm các mã phiên, thông tin xác thực và các thông tin nhạy cảm khác.
Nguyên nhân sâu xa của lỗ hổng nằm ở việc triển khai hàm snprintf với chuỗi định dạng %.*s. Khi một yêu cầu đăng nhập được gửi mà không có định dạng thích hợp, hàm này có thể đọc từ một vùng bộ nhớ không được khởi tạo. Kết quả là hệ thống phản hồi với nội dung bộ nhớ chưa được khởi tạo, cho đến ký tự null đầu tiên được tìm thấy.
Dữ liệu nhạy cảm bị rò rỉ và tác động
Mỗi yêu cầu khai thác thành công có thể làm rò rỉ khoảng 127 byte dữ liệu bộ nhớ. Kẻ tấn công có thể tự động hóa quá trình này bằng cách liên tục gửi các yêu cầu bị định dạng sai để từ từ “rút” (bleed) nội dung bộ nhớ cho đến khi các dữ liệu có giá trị được trích xuất. Những dữ liệu này bao gồm:
- Mã phiên (Session tokens): Cho phép kẻ tấn công chiếm quyền phiên của người dùng hợp lệ, bao gồm cả tài khoản quản trị.
- Thông tin xác thực (Credentials): Tên người dùng và mật khẩu có thể bị lộ.
- Các thông tin nhạy cảm khác: Bất kỳ dữ liệu nào hiện có trong vùng bộ nhớ bị ảnh hưởng tại thời điểm khai thác.
Việc trích xuất thành công mã phiên cho phép kẻ tấn công có được quyền truy cập hệ thống hoàn toàn, đồng thời bỏ qua các biện pháp bảo vệ MFA. Điều này làm tăng đáng kể mức độ nghiêm trọng của lỗ hổng, biến nó thành một công cụ tiềm năng cho việc truy cập ban đầu và duy trì quyền truy cập dai dẳng trong môi trường mục tiêu.
Bằng chứng khai thác (Proof-of-Concept)
Hai công ty bảo mật hàng đầu đã công bố các khai thác hoạt động (working exploits), chứng minh mức độ nghiêm trọng của lỗ hổng:
- watchTowr Labs: Đã phát hành phân tích lỗ hổng và PoC vào ngày 4 tháng 7 năm 2025. Việc công bố này được thực hiện sau khi họ quan sát thấy rằng “một phần đáng kể cơ sở người dùng Citrix NetScaler” vẫn chưa vá lỗi. Phân tích của họ đã chỉ ra cách những kẻ tấn công có thể liên tục truy vấn các endpoint dễ bị tấn công để trích xuất nội dung bộ nhớ bằng cách sử dụng các yêu cầu HTTP đơn giản.
- Horizon3.ai: Đã công bố một khai thác chi tiết hơn vào ngày 7 tháng 7 năm 2025. Khai thác của họ đã chứng minh việc trích xuất thành công các mã phiên người dùng hợp lệ từ bộ nhớ NetScaler. Nghiên cứu của Horizon3.ai chỉ ra rằng kẻ tấn công có thể thu thập các mã phiên thuộc về cả người dùng thông thường và tài khoản quản trị, bao gồm cả tài khoản “nsroot” có quyền lực cao nhất cho toàn bộ các phiên bản NetScaler.
Những PoC này xác nhận khả năng lạm dụng lỗ hổng CVE-2025-5777 để truy cập các dữ liệu quan trọng, cho phép kẻ tấn công dễ dàng leo thang đặc quyền và duy trì quyền kiểm soát trong hệ thống bị ảnh hưởng.
Dấu hiệu khai thác đang diễn ra
Nhiều công ty bảo mật đã báo cáo bằng chứng về việc khai thác tích cực lỗ hổng này kể từ giữa tháng 6 năm 2025. ReliaQuest đã tuyên bố với “mức độ tin cậy trung bình” rằng kẻ tấn công đang tích cực khai thác CVE-2025-5777 để giành quyền truy cập ban đầu vào các môi trường mục tiêu. Mặc dù Citrix ban đầu phủ nhận bằng chứng về việc khai thác, nhưng sự đồng thuận giữa các nhà nghiên cứu bảo mật là lỗ hổng này đang bị nhắm mục tiêu một cách tích cực trong các cuộc tấn công thực tế.
Các nhà nghiên cứu cảnh báo rằng CitrixBleed2 có thể đi theo một mô hình khai thác tương tự như lỗ hổng CitrixBleed ban đầu (CVE-2023-4966). Lỗ hổng trước đó đã bị các nhóm ransomware, bao gồm LockBit 3.0, và các tác nhân tấn công cấp quốc gia khai thác rộng rãi để đạt được quyền truy cập dai dẳng, thêm các tài khoản backdoor và sửa đổi cấu hình hệ thống. Mối lo ngại tương tự cũng tồn tại đối với CVE-2025-5777, do khả năng cho phép những hành vi độc hại tương tự.
Các phiên bản NetScaler bị ảnh hưởng và Biện pháp khắc phục
Lỗ hổng này ảnh hưởng đến các phiên bản NetScaler khi được cấu hình như Gateway (máy chủ ảo VPN, ICA Proxy, CVPN, RDP Proxy) hoặc máy chủ ảo AAA. Các tổ chức sử dụng các cấu hình này cần đặc biệt lưu ý và thực hiện các biện pháp khắc phục ngay lập tức.
Các hành vi độc hại sau khi khai thác thành công
Một khi khai thác thành công CVE-2025-5777, kẻ tấn công có thể thực hiện nhiều hành vi độc hại, bao gồm:
- Thiết lập quyền truy cập dai dẳng (persistent access) vào hệ thống.
- Thêm các tài khoản backdoor để duy trì quyền kiểm soát.
- Sửa đổi các cấu hình hệ thống để phục vụ mục đích tấn công hoặc che giấu dấu vết.
Chỉ dẫn vá lỗi và Giám sát
Citrix đã phát hành các bản vá lỗi cho tất cả các phiên bản bị ảnh hưởng. Các tổ chức được khuyến nghị mạnh mẽ nên áp dụng các bản cập nhật này ngay lập tức, vì hiện tại không có biện pháp khắc phục hay giảm thiểu (workarounds or mitigations) nào khác có sẵn để bảo vệ chống lại lỗ hổng này.
Sau khi hoàn tất quá trình vá lỗi, quản trị viên cần thực hiện các bước bổ sung để đảm bảo an toàn hệ thống:
- Chấm dứt tất cả các phiên ICA và PCoIP đang hoạt động: Điều này giúp đảm bảo rằng bất kỳ phiên nào đã bị chiếm đoạt thông qua lỗ hổng đều bị ngắt kết nối.
- Kiểm tra các phiên người dùng hiện có để tìm hoạt động đáng ngờ: Rà soát lại nhật ký hoạt động để phát hiện các dấu hiệu bất thường.
Các tổ chức cũng nên chủ động giám sát các hoạt động phiên bất thường. Các dấu hiệu tiềm năng của việc khai thác có thể bao gồm:
- Người dùng duy nhất truy cập hệ thống từ nhiều địa chỉ IP khác nhau.
- Các phiên có thời lượng kéo dài bất thường.
- Các mục nhật ký chứa các ký tự không thể in được (non-printable characters), điều này có thể chỉ ra các nỗ lực khai thác hoặc rò rỉ bộ nhớ.
Việc kết hợp việc vá lỗi kịp thời với giám sát chặt chẽ là chìa khóa để bảo vệ hệ thống khỏi các mối đe dọa từ CitrixBleed2.
