Các nhà nghiên cứu an ninh mạng đã phát hiện ra rằng các tác nhân đe dọa bắt đầu khai thác lỗ hổng nghiêm trọng CitrixBleed 2 gần hai tuần trước khi một proof-of-concept (PoC) công khai được phát hành. Điều này làm nổi bật tính chất phức tạp của các chiến dịch tấn công hiện đại.
CVE-2025-5777: Lỗ hổng Citrix NetScaler
Lỗ hổng này được theo dõi là CVE-2025-5777, đại diện cho một rủi ro bảo mật đáng kể đối với các tổ chức đang vận hành thiết bị Citrix NetScaler.
Dòng thời gian khai thác lỗ hổng
Các nhà nghiên cứu bảo mật tại GreyNoise đã quan sát thấy những nỗ lực khai thác đầu tiên chống lại CVE-2025-5777 vào ngày 23 tháng 6 năm 2025. Đây là dấu mốc khởi đầu của một chiến dịch tấn công kéo dài.
Dòng thời gian này cho thấy một mô hình đáng lo ngại, trong đó các tác nhân độc hại đã có quyền truy cập vào thông tin chi tiết về lỗ hổng rất lâu trước khi cộng đồng bảo mật rộng lớn nhận thức được mối đe dọa.
Trình tự thời gian của các sự kiện thể hiện sự tinh vi của bối cảnh đe dọa:
- 23 tháng 6: Khai thác ban đầu bắt đầu.
- 4 tháng 7: Proof-of-concept công khai được phát hành.
- 7 tháng 7: GreyNoise tạo thẻ theo dõi cho lỗ hổng.
- 9 tháng 7: Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) xác nhận hoạt động khai thác. Sự xác nhận này cuối cùng đã dẫn đến việc bổ sung lỗ hổng vào danh mục Known Exploited Vulnerabilities của CISA.
Đặc điểm chiến dịch tấn công
Chiến dịch khai thác này thể hiện các đặc điểm của hoạt động APT (Advanced Persistent Threat), với việc những kẻ tấn công thể hiện sự nhắm mục tiêu có chủ đích thay vì quét cơ hội.
Các nỗ lực khai thác ban đầu có nguồn gốc từ các địa chỉ IP độc hại được định vị địa lý tại Trung Quốc, cho thấy khả năng liên quan đến các quốc gia hoặc các tổ chức tội phạm tinh vi có cơ sở hạ tầng khu vực.
Thay vì tiến hành các chiến dịch quét rộng rãi, các tác nhân đe dọa này đã nhắm mục tiêu cụ thể vào các cảm biến GreyNoise được cấu hình để mô phỏng thiết bị Citrix NetScaler.
Cách tiếp cận có mục tiêu này cho thấy hoạt động trinh sát và thu thập thông tin tình báo trước đó về các hệ thống có khả năng bị tổn thương, đại diện cho một sự leo thang đáng kể về mức độ tinh vi của cuộc tấn công.
Phản ứng nhanh chóng từ các cơ quan an ninh mạng nhấn mạnh mức độ nghiêm trọng của lỗ hổng. Việc CISA xác nhận hoạt động khai thác ngay sau khi GreyNoise công bố thẻ theo dõi của họ cho thấy sự phối hợp hiệu quả giữa các nhà nghiên cứu bảo mật tư nhân và các cơ quan chính phủ.
Indicators of Compromise (IOCs)
Dựa trên các quan sát về chiến dịch khai thác CVE-2025-5777, các chỉ số thỏa hiệp (IOCs) ban đầu liên quan đến nguồn gốc của các cuộc tấn công:
- Địa chỉ IP độc hại: Có nguồn gốc từ Trung Quốc.
- Mẫu lưu lượng mạng: Các yêu cầu nhắm mục tiêu cụ thể đến các thiết bị Citrix NetScaler, cho thấy sự do thám trước đó.
Các tổ chức nên theo dõi các hoạt động mạng bất thường liên quan đến thiết bị Citrix NetScaler của họ và đối chiếu với thông tin tình báo đe dọa cập nhật.
Biện pháp giảm thiểu và phòng thủ
Các tổ chức cần triển khai các biện pháp phòng thủ ngay lập tức bao gồm khả năng chặn IP động để giảm thiểu phơi nhiễm và ngăn chặn các cảnh báo sai.
Các nhóm bảo mật phải ưu tiên vá lỗi thiết bị Citrix NetScaler và giám sát các chỉ số thỏa hiệp liên quan đến lỗ hổng này.
Sự phát triển các danh sách chặn IP động nâng cao bởi các nhà cung cấp bảo mật đại diện cho một cách tiếp cận chủ động để giảm thiểu mối đe dọa, cho phép các nhà phòng thủ phản ứng nhanh hơn với các mối đe dọa mới nổi trước khi chúng bị khai thác rộng rãi.
