Une semaine après l’alerte de l’ANSSI, la situation s’aggrave. La faille critique surnommée CitrixBleed 2 inquiète de plus en plus les chercheurs en cybersécurité, après la diffusion publique de plusieurs preuves de concept.
- La faille CitrixBleed 2, découverte début juillet, permet de contourner la sécurité MFA via exfiltration de mémoire.
- Malgré un correctif disponible, de nombreux systèmes restent vulnérables, exposant des données sensibles à des attaques potentielles.
- Les chercheurs recommandent de tester les systèmes pour détecter des vulnérabilités et signaler toute compromission au CERT-FR.
Début juillet, l’ANSSI alertait sur deux failles critiques affectant les équipements Citrix NetScaler. Si la première, CVE-2025-6543, faisait déjà l’objet d’exploitations actives, la seconde – CVE-2025-5777, surnommée CitrixBleed 2 – inquiétait par son potentiel de contournement MFA via exfiltration de mémoire, sans avoir encore été exploitée. Depuis, plusieurs preuves de concept ont été rendues publiques, et des chercheurs estiment que la faille est désormais intégrée aux outils d’attaque de groupes malveillants. Un constat d’autant plus alarmant que des milliers de systèmes restent vulnérables malgré la disponibilité d’un correctif. Le tout dans un silence assourdissant de l’éditeur.
Une faille triviale à exploiter, malgré un correctif déjà disponible
La méthode d’exploitation est désormais documentée publiquement. Elle repose sur l’envoi d’une requête HTTP spécialement conçue, adressée au point d’entrée de connexion d’un équipement NetScaler configuré en mode Gateway. Parce qu’elle ne contient pas de paramètre login, le serveur ne réagit pas comme prévu : au lieu de déclencher une erreur, il va traiter la requête en accédant à une zone mémoire non initialisée.
Le contenu résiduel de cette mémoire – qui peut inclure, de manière non déterministe, des données sensibles comme des jetons de session, potentiellement des identifiants ou des clés d’accès, selon les conditions de charge – est alors renvoyé tel quel dans la réponse. En répétant cette opération, un attaquant peut extraire des informations exploitables, usurper des sessions actives et contourner l’authentification multifactorielle.
Citrix a bien publié un correctif dès juin, mais n’a depuis fourni aucun détail sur l’étendue des compromissions. Un manque de transparence que déplorent plusieurs chercheurs. L’équipe de watchTowr Labs, qui affirme que la faille est « triviale » à exploiter, a finalement mis en ligne une analyse technique complète, accompagnée d’un outil de test.
« Nous avions déclaré précédemment que nous ne comptions pas publier cette analyse de vulnérabilité », ont expliqué les chercheurs au média The Register. Mais, ont-ils ajouté, le partage minimal d’informations autour de cette faille « place les utilisateurs dans une position délicate lorsqu’il s’agit de déterminer s’ils doivent déclencher une alerte en interne. ». Selon eux, la publication de cette documentation technique et de la preuve de concept peut aider les équipes de défense – « et pas seulement les acteurs malveillants » – à identifier les systèmes vulnérables.
L’éditeur Horizon3.ai leur a rapidement emboîté le pas en publiant son propre exploit fonctionnel. De leur côté, les chercheurs de Wiz estiment qu’à ce stade, la vulnérabilité a vraisemblablement déjà été intégrée aux outils d’attaque utilisés par des groupes malveillants.
Derrière CitrixBleed 2, le spectre de CitrixBleed (2023)
La faille CitrixBleed 2 fonctionne selon une logique très proche de celle découverte en 2023 (CVE-2023-4966), même si Citrix conteste tout lien direct entre les deux vulnérabilités. Dans les deux cas, il s’agit d’une lecture aveugle de segments mémoire, pouvant contenir des jetons d’authentification actifs.
Lors de ses essais, watchTowr n’a pas trouvé de cookies ou de mots de passe directement exploitables. Mais les chercheurs rappellent que le phénomène est par nature non déterministe : il suffit de persister suffisamment pour tomber sur des données critiques. En environnement de production, avec des connexions VPN actives et des sessions en cours, le risque est loin d’être théorique.
Un parc largement exposé, faute de mises à jour
Malgré le correctif disponible, une proportion importante d’équipements exposés à Internet n’a pas été mise à jour, selon les analystes. La faille affecte les versions de NetScaler ADC et Gateway antérieures à 14.1-47.46 et 13.1-59.19. Les branches 12.1 et 13.0, quant à elles, ne seront plus corrigées, l’éditeur ayant mis fin à leur support.
Certaines organisations, faute de moyens techniques ou de procédures de mise à jour adaptées, n’ont pas encore appliqué les correctifs. D’autres hésitent à relancer des appliances critiques. Dans ce contexte, les chercheurs recommandent de tester rapidement l’exposition des instances, de vérifier les logs pour détecter des requêtes malformées, et de révoquer les sessions actives en cas de doute.
Le signalement au CERT-FR reste fortement conseillé, en particulier si des signes de compromission sont détectés. Les équipements NetScaler exposés à Internet, notamment en configuration VPN ou proxy d’authentification, doivent aujourd’hui être considérés comme des cibles prioritaires.
Sources : watchTowr Labs, Horizon3.ai, Wiz, The Register
27 juin 2025 à 09h45
