Весьма серьезную проблематику подсветил один из наших уважаемы | SecAtor

Весьма серьезную проблематику подсветил один из наших уважаемых читателей - спец по анализу защищенности, исследователь Кумуржи Георгий.

В конце октября, выступая на Standoff Talks 2025 с докладом Я тебе LoGiN, а ты мне креды? Пошло? Или почему мы до сих пор уязвимы перед CitrixBleed2, он рассказал о личном опыте обнаружения и эксплуатации трендовой Citrix Bleed 2 (CVE‑2025‑5777), отгремевшей этим летом.

Краткий обзор обнаруженных исследователем на практике основных моментов эксплуатации Citrix Bleed 2 - здесь, полная запись доклада - здесь.

Связанная с ней проблема, по мнению исследователя, заключается в недостаточном публичном информировании по части важных особенностей эксплуатации критической баги, что повлекло за собой массовую выработку вендорами малоэффективных WAF-правил для проактивной защиты.

На практике ему удалось столкнуться с работой различных WAF и SIEM крупных отечественных компаний, - во всех случаях получилось реализовать успешную утечку памяти из Citrix Netscaler (с последующей кражей сессий).

Многие вендора не в полной мере смогли разобраться с полным спектром технических особенностей уязвимости и выкатили правила WAF/SIEM, ограничивающийся одним из нескольких вариантов эксплуатации (и как следует соответствующие рекомендации по защите).

В целом, по мнению исследователя, ситуация с CVE-2025-5777 неоднозначная и многие отечественные компании до сих пор находятся в зоне риска компрометации своих систем.

Возможным вариантом нивелирования проблемы, предлагаемый исследователем, может стать более широкое освещение наиболее важных аспектов эксплуатации трендовых уязвимостей, что позволит вендорам или их клиентам оперативно «докрутить» правила.

Собственно, с чем мы согласны, и со своей стороны - обращаем внимание нашей аудитории на затронутую проблематику в части Citrix Bleed 2.