Pular para o conteúdo principal
Fechar
Segurança

CitrixBleed 2: Mesmo Binário, Mesmo Bug, Mesma Memória Vazada

Gabriel Ferraresi· CEO | Tech8612 de julho de 20265 min
segurancacitrixbleednetscalermfa-bypasssession-hijackingcisa-kevwafedr
  1. CitrixBleed. Buffer over-read no binário nsppe do NetScaler. Tokens NSC_AAAC vazados pela memória. MFA bypassed. LockBit 3.0 comprometeu Boeing e ICBC. Dois anos depois, o mesmo binário. Mesma classe de bug. Mesmo impacto. Nós acompanhamos esse padrão desde a primeira onda e ele se repete com uma precisão que não deveria surpreender mais — mas ainda surpreende.

CitrixBleed 2: o mesmo bug, dois anos depois

CitrixBleed 2, CVE-2025-5777, CVSS 9.3 — cunhado por Kevin Beaumont em junho de 2025 — é a continuação direta do incidente de 2023. O endpoint mudou: doAuthentication.do em vez de openid-configuration. O mecanismo mudou: variável não inicializada em vez de misuse do retorno de snprintf. O que não mudou é o que importa: o token NSC_AAAC na memória vaza, a sessão é sequestrada, e o MFA torna-se irrelevante depois que o token foi emitido.

A classe de bug é a mesma: buffer over-read no binário nsppe do NetScaler. A memória que deveria ser descartada é lida e exposta na resposta HTTP. O atacante não precisa quebrar criptografia — ele lê o token diretamente da memória do appliance. O MFA protegeu a autenticação, mas depois que o token existe, ele é a única coisa que importa. E o token está na memória, legível.

O twist que muda tudo: o patch não resolve

O detalhe que separa CitrixBleed 2 de uma vulnerabilidade comum é que patching não resolve. Tokens roubados antes do patch permanecem válidos depois dele. A sessão hijackada sobrevive ao upgrade. O atacante que capturou o token NSC_AAAC na semana anterior ao patch mantém acesso mesmo após o appliance ser atualizado.

É obrigatório terminar todas as sessões ativas: kill aaa session -all, kill icaconnection -all, RDP, SSH, PCoIP. Rotacionar RADIUS, LDAP, SAML. O patch é o começo da remediação, não o fim. Tratar o upgrade como ponto final é o erro que mantém a porta aberta para o atacante que já está dentro — e que agora está dentro com um token que o próprio patch não invalida.

A escala: 5.000+ endpoints, 24% unpatched

Segundo dados de threat intel, mais de 5.000 endpoints expostos. Segundo dados de threat intel, 24% permaneceram unpatched após um mês. A CISA adicionou o CVE-2025-5777 ao KEV em 10 de julho com due date de um dia — prazo que sinaliza urgência máxima e que deixa pouco espaço para hesitação.

Ameaças já usam CitrixBleed 2 como initial access. Segundo threat intel, Anubis, DragonForce e RansomHub já foram observados explorando a vulnerabilidade. O webserver do NetScaler não loga o endpoint vulnerável, então a detecção depende de telemetria externa — não dos logs do próprio appliance. Quem confia apenas nos logs do NetScaler para detectar a exploração está cego por design.

Defesa em camadas: por que um único controle não basta

O que protege é camada. WAF com virtual patching na borda bloqueia o POST malformado antes do nsppe, pois o WAF da Citrix não o detecta — uma limitação do produto que deixa o appliance desprotegido contra seu próprio bug. EDR com isolamento automático contém o atacante ao pivotar da VPN para o domínio. SOC 24/7 responde em madrugada, quando o memory spray acontece. Zero Trust valida a sessão continuamente em vez de tratar o token como confiável. Red Team simula o kill chain antes do atacante real.

Nenhuma camada sozinha resolve. O WAF bloqueia a exploração inicial. O EDR contém o movimento lateral. O SOC detecta o comportamento anômalo fora do horário comercial. O Zero Trust invalida a sessão roubada quando o contexto muda. O Red Team valida que o conjunto funciona antes do incidente real. A falha de qualquer camada é contida pelas outras — é o princípio do defense in depth aplicado a um bug que sobrevive ao patch.

O padrão que se repete desde 2023

Nós vimos esse padrão se repetir desde 2023. Um appliance de perímetro com um bug de memória. Um token que sobrevive ao patch. Um atacante que trata a VPN como porta de entrada para o domínio. A diferença entre 2023 e 2025 é o nome do CVE — a mecânica é a mesma, e a remediação que funcionou na primeira onda continua válida na segunda.

Na Tech86, essa arquitetura vive na Blindagem de Perímetro, no EDR/XDR com SOC 24/7, na Segurança Ofensiva e na Segurança e Conformidade. É o padrão que aplicamos desde a primeira onda de CitrixBleed e que continua válido contra a segunda — porque o bug mudou de nome, mas a defesa em camadas não mudou de princípio.

Conclusão

O patch é o começo da remediação, não o fim. Terminar sessões, rotacionar credenciais, bloquear o POST na borda, isolar o endpoint, monitorar 24/7 e validar a sessão continuamente — esse é o conjunto que fecha a porta que o CitrixBleed 2 abre. Nós ajudamos empresas a montar exatamente essa arquitetura antes que o atacante monte a dele.

blog.cta_consulting_title

blog.cta_consulting_subtitle

Blindagem de Perímetro e WAF

Perguntas Frequentes

CitrixBleed 2 é CVE-2025-5777, CVSS 9.3, cunhado por Kevin Beaumont em junho de 2025. Assim como o CitrixBleed de 2023, é um buffer over-read no binário nsppe do NetScaler que vaza tokens NSC_AAAC da memória. O endpoint mudou (doAuthentication.do em vez de openid-configuration) e o mecanismo mudou (variável não inicializada em vez de misuse do retorno de snprintf), mas o impacto é o mesmo: session hijacking com MFA irrelevante depois que o token foi emitido.

Tokens roubados antes do patch permanecem válidos depois dele. A sessão hijackada sobrevive ao upgrade porque o token NSC_AAAC já emitido continua aceito pelo appliance. Por isso é obrigatório terminar todas as sessões ativas (kill aaa session -all, kill icaconnection -all, RDP, SSH, PCoIP) e rotacionar RADIUS, LDAP e SAML. O patch é o começo da remediação, não o fim.

O webserver do NetScaler não loga o endpoint vulnerável (doAuthentication.do), então a exploração não aparece nos logs do próprio appliance. A detecção depende de telemetria externa — WAF na borda, EDR nos endpoints, SIEM correlacionando tráfego de VPN com movimento lateral. Sem camadas externas ao NetScaler, o atacante explora, rouba o token e pivota sem deixar rastro nos logs do appliance.

Segundo dados de threat intel, Anubis, DragonForce e RansomHub já usam o CitrixBleed 2 como initial access. A CISA adicionou o CVE-2025-5777 ao KEV em 10 de julho com due date de um dia, sinalizando urgência máxima. Segundo dados de threat intel, mais de 5.000 endpoints permanecem expostos e 24% permaneceram unpatched após um mês.

O processo completo é: aplicar o patch, terminar todas as sessões ativas (kill aaa session -all, kill icaconnection -all, RDP, SSH, PCoIP), rotacionar RADIUS, LDAP e SAML, deploy de WAF com virtual patching na borda (pois o WAF da Citrix não detecta o POST malformado), EDR com isolamento automático para conter pivô da VPN para o domínio, SOC 24/7 para responder ao memory spray em madrugada, e Zero Trust para validar a sessão continuamente em vez de tratar o token como confiável.

Blog — Fale Conosco

Tem alguma pergunta sobre nossos artigos ou serviços? Nossa equipe está pronta para ajudar.

Agendar Reunião

Reserve um horário.

Agendar Agora

E-mail

Envie uma mensagem.

[email protected]

WhatsApp

Conversa rápida.

Endereço

Avenida Paulista, 1636 - São Paulo - SP - 01310-200

Especialista Tech86

Online agora

Olá! Como podemos ajudar a escalar seu negócio hoje?

Tech86 Engineering

Nós valorizamos sua privacidade

Utilizamos cookies e tecnologias similares para otimizar a sua experiência, analisar o tráfego do site e personalizar conteúdo. Ao clicar "Aceitar Todos", você concorda com o uso de todos os cookies. Leia nossa Política de Privacidade.