Il 4 luglio 2025, sono stati resi pubblici i dettagli di una nuova e pericolosa vulnerabilità di tipo memory disclosure che colpisce dispositivi Citrix NetScaler ADC e Gateway. La falla, identificata come CVE-2025-5777 e soprannominata CitrixBleed 2, consente ad attaccanti non autenticati di inviare richieste malevole in grado di leggere porzioni casuali di memoria non inizializzata – esponendo così dati sensibili come token di sessione, credenziali e configurazioni interne.
A differenza di vulnerabilità che richiedono interazione o privilegi specifici, CitrixBleed 2 può essere sfruttata senza alcuna autenticazione, tramite una semplice richiesta POST all’endpoint /p/u/doAuthentication.do. L’attacco sfrutta una variabile non inizializzata nel codice di autenticazione scritto in C/C++, consentendo all’attaccante di “drenare” continuamente dati dalla memoria dello stack del dispositivo vulnerabile.
Citrix aveva avvisato i propri clienti già il 17 giugno, ma la pubblicazione di un proof of concept ha innescato una corsa contro il tempo: nelle ore successive alla divulgazione, i ricercatori di Akamai hanno osservato un’impennata nel traffico generato da scanner automatici e tentativi attivi di exploit, con oltre 200.000 richieste sospette in meno di 24 ore.
Per rispondere prontamente alla minaccia, il team WAF Threat Research di Akamai ha rilasciato la Rapid Rule 3000967, integrata nei propri sistemi App & API Protector, inizialmente in modalità “alert” e successivamente impostata su “deny” a partire dall’8 luglio. I clienti Akamai dotati di questa protezione risultano così automaticamente al sicuro da questa minaccia.
CitrixBleed 2 segue le orme del precedente CitrixBleed (CVE-2023-4966), reso noto nel 2023, ma presenta un impatto potenzialmente più grave proprio per l’assenza di requisiti di autenticazione e la semplicità d’esecuzione.
Akamai continuerà a monitorare queste e altre minacce e fornirà ulteriori informazioni non appena si presenteranno. Aggiornamenti in tempo reale su ulteriori ricerche sono disponibili sul canale Twitter di Akamai.
