
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
CitrixBleed 2 to krytyczna podatność w urządzeniach Citrix NetScaler ADC oraz NetScaler Gateway, oznaczona jako CVE-2025-5777. Luka wynika z błędu typu memory overread i może umożliwić nieautoryzowanemu atakującemu odczyt fragmentów pamięci urządzenia, a w konsekwencji pozyskanie wrażliwych danych, w tym artefaktów sesyjnych oraz informacji wspierających dalszą kompromitację środowiska.
Ze względu na rolę NetScaler jako systemu brzegowego obsługującego zdalny dostęp, skuteczne wykorzystanie tej podatności może stać się punktem wejścia do wewnętrznej infrastruktury organizacji. To właśnie dlatego CitrixBleed 2 budzi duże obawy wśród zespołów bezpieczeństwa i reagowania na incydenty.
W skrócie
W pierwszej połowie 2026 roku badacze zaobserwowali rzeczywiste kampanie, w których brokerzy dostępu początkowego wykorzystywali CitrixBleed 2 do przejmowania środowisk opartych na NetScaler. W analizowanych incydentach napastnicy po uzyskaniu dostępu eskalowali uprawnienia, tworzyli nieautoryzowane konta administracyjne i utrwalali obecność przy użyciu legalnych narzędzi zdalnego wsparcia.
- eksploatacja CVE-2025-5777 jako wektora wejścia,
- tworzenie nowych kont uprzywilejowanych,
- utrwalanie dostępu z użyciem narzędzi takich jak ScreenConnect i Zoho Assist,
- szybkie przejście do działań końcowych, w tym wdrożenia ransomware DragonForce.
Kontekst / historia
Nazwa CitrixBleed 2 wyraźnie nawiązuje do głośnej fali incydentów związanych z CitrixBleed z 2023 roku. Podobieństwo nie dotyczy wyłącznie nazewnictwa, ale również charakteru technicznego zagrożenia: w obu przypadkach chodzi o możliwość odczytu pamięci z systemu perymetrycznego wystawionego do internetu.
Po ujawnieniu CVE-2025-5777 w 2025 roku eksperci od początku wskazywali, że luka może stać się atrakcyjnym narzędziem dla grup specjalizujących się w uzyskiwaniu dostępu początkowego. W 2026 roku te obawy potwierdziły się w praktyce. Telemetria z incydentów i obserwacje badaczy pokazały, że podatność została włączona do realnych playbooków przestępczych, a jej wykorzystanie było elementem szerszych operacji prowadzących do wdrożenia ransomware.
Analiza techniczna
Od strony technicznej CitrixBleed 2 wynika z niewystarczającej walidacji danych wejściowych w NetScaler ADC i NetScaler Gateway. Gdy urządzenie działa jako Gateway lub jako virtual server, podatność może prowadzić do ujawnienia danych z pamięci poza oczekiwanym zakresem. Tego rodzaju błąd jest szczególnie groźny na urządzeniach brzegowych, ponieważ często odpowiadają one za uwierzytelnianie użytkowników zdalnych i stanowią pomost między internetem a siecią wewnętrzną.
W incydentach obserwowanych w 2026 roku atakujący nie kończyli działań na jednorazowym wykorzystaniu luki. Przeciwnie, traktowali ją jako początek wieloetapowego łańcucha ataku. Po wejściu do środowiska wykonywali kolejne kroki operacyjne w sposób uporządkowany i powtarzalny.
- podniesienie uprawnień lokalnych,
- utworzenie fałszywych kont administratorów,
- instalacja lub uruchomienie legalnych narzędzi zdalnego zarządzania,
- utrwalenie dostępu z utrudnieniem szybkiej izolacji incydentu,
- przygotowanie środowiska do ruchu bocznego i szyfrowania systemów.
Takie podejście jest charakterystyczne dla brokerów dostępu początkowego, którzy specjalizują się w przełamywaniu warstwy wejściowej organizacji, a następnie monetyzują uzyskany dostęp lub przekazują go operatorom kolejnych etapów ataku. Na uwagę zasługuje również wykorzystanie legalnych narzędzi administracyjnych. Z perspektywy obrońców oznacza to trudniejszą detekcję, ponieważ aktywność napastnika może przypominać zwykłe działania działu IT lub helpdesku.
Konsekwencje / ryzyko
Ryzyko związane z CitrixBleed 2 zdecydowanie wykracza poza sam błąd w urządzeniu sieciowym. Kompromitacja NetScaler może otworzyć drogę do przejęcia tożsamości użytkowników, uzyskania trwałego dostępu do kluczowych zasobów oraz eskalacji incydentu do poziomu pełnego naruszenia środowiska przedsiębiorstwa.
- przejęcie aktywnych sesji i danych uwierzytelniających,
- obejście części mechanizmów dostępu,
- utworzenie trwałych punktów obecności w infrastrukturze,
- ruch boczny do systemów wewnętrznych,
- wdrożenie ransomware,
- eksfiltracja danych i utrudnienie wykrycia incydentu.
Szczególnie niebezpieczne jest tempo takich operacji. W analizowanych przypadkach przejście od eksploatacji do kolejnych faz następowało szybko, co znacząco ograniczało czas reakcji zespołów SOC i administratorów. Organizacje, które polegają głównie na ręcznej analizie logów lub opóźnionej reakcji operacyjnej, mogą nie zdążyć przerwać ataku przed jego eskalacją.
Rekomendacje
Organizacje korzystające z Citrix NetScaler powinny traktować CVE-2025-5777 jako podatność wymagającą priorytetowego działania. Samo wdrożenie poprawki jest konieczne, ale nie zawsze wystarczające, jeśli istnieje ryzyko wcześniejszej eksploatacji.
- niezwłocznie zaktualizować wszystkie podatne instancje NetScaler ADC i NetScaler Gateway,
- zweryfikować, które urządzenia wystawione do internetu działają w podatnych wersjach,
- unieważnić aktywne sesje i przeanalizować tokeny uwierzytelniające po aktualizacji,
- przeprowadzić audyt lokalnych kont administracyjnych oraz zmian konfiguracyjnych,
- sprawdzić obecność nieautoryzowanych narzędzi zdalnego dostępu,
- rozszerzyć reguły detekcji o anomalie związane z logowaniem, tworzeniem kont uprzywilejowanych i użyciem narzędzi takich jak ScreenConnect czy Zoho Assist,
- przeanalizować logi pod kątem szybkiej sekwencji zdarzeń obejmującej dostęp zewnętrzny, eskalację uprawnień i utrwalenie dostępu,
- wdrożyć segmentację sieci ograniczającą zaufanie do systemów perymetrycznych,
- przygotować playbooki IR dla scenariuszy przejęcia urządzeń dostępowych i szybkiego wdrożenia ransomware.
Dodatkowo warto prowadzić aktywny threat hunting pod kątem nietypowych procesów administracyjnych, zmian w konfiguracji NetScaler oraz obecności oprogramowania, które nie znajduje się na liście dopuszczonych narzędzi wsparcia zdalnego.
Podsumowanie
CitrixBleed 2 potwierdza, że urządzenia perymetryczne pozostają jednym z najważniejszych celów dla brokerów dostępu początkowego i operatorów ransomware. Sama luka CVE-2025-5777 jest groźna z powodu możliwości odczytu pamięci i przejęcia wrażliwych artefaktów sesyjnych, ale jej prawdziwe znaczenie wynika z tego, jak skutecznie może zostać włączona do wieloetapowego łańcucha ataku.
Dla zespołów bezpieczeństwa najważniejszy wniosek jest jednoznaczny: szybkie patchowanie musi iść w parze z pełną oceną potencjalnego naruszenia, resetem zaufania do sesji oraz aktywnym poszukiwaniem oznak utrwalonego dostępu. W przeciwnym razie nawet załatana podatność może pozostawić po sobie otwarte drzwi do dalszej kompromitacji środowiska.
Źródła
- Cybersecurity Dive — Initial access broker linked to weaponization of CitrixBleed2 flaw
- Tenable — Frequently Asked Questions About CitrixBleed 2 and Citrix NetScaler Exploitation
- Safeguard — NetScaler Memory Disclosure Deep Dive
- Sophos — QEMU abused to evade detection and enable ransomware delivery
- BleepingComputer — Public exploits released for Citrix Bleed 2 NetScaler flaw, patch now