Vulnérabilités : vous avez aimé « CitrixBleed » ? Vous allez adorer la CVE-2025-5349

Elle est désormais activement activement exploitée. C’est la vulnérabilité CVE-2025-5349. L’expert Kevin Beaumont, qui la surveille depuis la semaine dernière, la surnommée « CitrixBleed 2 ». Pourquoi ?

Parce qu’elle présente un potentiel dévastateur comparable à celui de la CVE-2023-4866, alors baptisée CitrixBleed. Son exploitation pouvait permettre aux attaquants de détourner des sessions authentifiées existantes, contournant ainsi l’authentification à facteurs multiples (MFA) ou d’autres mécanismes d’authentification forte. 

L’histoire se répète avec la 2025-5349 car, comme le relève Charles Carmakal, directeur technique de Mandiant, le risque est grand que beaucoup oublient de fermer toutes les sessions ICA et PCoIP actives après applications des corrections disponibles. Des sessions qui seraient alors susceptibles d’être détournées par des acteurs malveillants, malgré l’installation des mises à jour correctives. Et c’est ce qui s’est produit, explique-t-il, avec… CitrixBleed, première du nom.

A l’automne 2023, cette vulnérabilité a notamment exploitée contre Allen & Overy, Boeing, DP World Australia, et ICBC. La franchise mafieuse LockBit 3.0 a été impliquée dans plusieurs de ces cyberattaques. Au moins quatre groupes de cybercriminels ont exploité CitrixBleed.

NetScaler ADC et NetScaler Gateway sont affectés, pour les versions 14.1 avant 14.1-43.56, et 13.1 avant 13.1-58.32. NetScaler ADC 13.1-FIPS et NDcPP avant 13.1-37.235-FIPS et NDcPP, ainsi que NetScaler ADC 12.1-FIPS avant 12.1-55.328-FIPS, sont également concernés.

Citrix propose des correctifs depuis le 17 juin et « recommande » de forcer la terminaison des sessions ICA et PCoIP actives après leur application.