In seguito alla scoperta della nuova vulnerabilità che colpisce dispositivi Citrix NetScaler ADC e Gateway il team WAF Threat Research di Akamai rilascia la protezione Rapid Rule 3000967, integrata nei propri sistemi App & API Protector. Il 4 luglio 2025 sono stati resi pubblici i dettagli della nuova vulnerabilità, identificata come CVE-2025-5777 e soprannominata CitrixBleed 2. La falla consente ad attaccanti non autenticati di inviare richieste malevole in grado di leggere porzioni casuali di memoria non inizializzata. Esponendo così dati sensibili come token di sessione, credenziali e configurazioni interne.
Vulnerabilità – Una corsa contro il tempo
A differenza di vulnerabilità che richiedono interazione o privilegi specifici, CitrixBleed 2 può essere sfruttata senza alcuna autenticazione, tramite una semplice richiesta POST all’endpoint /p/u/doAuthentication.do. L’attacco sfrutta una variabile non inizializzata nel codice di autenticazione scritto in C/C++. Consente all’attaccante di ‘drenare’ continuamente dati dalla memoria dello stack del dispositivo vulnerabile. Citrix aveva avvisato i propri clienti già il 17 giugno, ma la pubblicazione di un proof of concept ha innescato una corsa contro il tempo. Nelle ore successive alla divulgazione, i ricercatori Akamai hanno osservato un’impennata nel traffico generato da scanner automatici e tentativi attivi di exploit, con oltre 200.000 richieste sospette in meno di 24 ore.
Come rispondere alla nuova vulnerabilità
Akamai ha rilasciato la Rapid Rule 3000967, integrata nei propri sistemi App & API Protector. Inizialmente in modalità ‘alert’ e successivamente impostata su ‘deny’ a partire dall’8 luglio. I clienti Akamai dotati di questa protezione risultano così automaticamente al sicuro da questa minaccia. CitrixBleed 2 segue le orme del precedente CitrixBleed (CVE-2023-4966), reso noto nel 2023, ma presenta un impatto potenzialmente più grave proprio per l’assenza di requisiti di autenticazione e la semplicità d’esecuzione.
