Una nuova vulnerabilità, CVE-2025-5777, denominata CitrixBleed 2, è stata resa pubblica il 4 luglio 2025 e rappresenta una seria minaccia per i dispositivi Citrix NetScaler ADC e Gateway. Il difetto riguarda una memory disclosure che permette a un attaccante non autenticato di leggere porzioni casuali della memoria non inizializzata del dispositivo, esponendo così dati sensibili come token di sessione, credenziali e configurazioni interne.
Nessuna autenticazione necessaria: un attacco semplice e pericoloso
A differenza di molte vulnerabilità che richiedono privilegi elevati o interazione utente, CitrixBleed 2 può essere sfruttata con una semplice richiesta POST all’endpoint:
/p/u/doAuthentication.do
L’origine della falla è una variabile non inizializzata nel codice di autenticazione scritto in C/C++, che consente agli aggressori di accedere ripetutamente allo stack di memoria e raccogliere dati sensibili in modo sistematico.
Akamai interviene con una protezione immediata
Sebbene Citrix avesse notificato la vulnerabilità ai clienti già il 17 giugno, la pubblicazione di un proof-of-concept ha fatto scattare un’ondata di attacchi automatizzati. Akamai, tra i primi a rilevare l’aumento di traffico malevolo, ha registrato oltre 200.000 richieste sospette nelle 24 ore successive alla divulgazione.
In risposta, il team WAF Threat Research di Akamai ha pubblicato la regola Rapid Rule 3000967, integrata nei sistemi App & API Protector. Inizialmente attiva in modalità “alert”, la protezione è stata impostata su “deny” l’8 luglio, bloccando automaticamente i tentativi di exploit per tutti i clienti.
Una minaccia più insidiosa di CitrixBleed (2023)
CitrixBleed 2 richiama la precedente vulnerabilità CVE-2023-4966, nota come CitrixBleed, ma si distingue per un livello di pericolosità maggiore. La possibilità di attacco senza autenticazione e con requisiti minimi di esecuzione amplia la superficie d’attacco in modo preoccupante.
Cosa aspettarsi ora
Akamai ha confermato che continuerà a monitorare l’evoluzione della minaccia e a fornire aggiornamenti in tempo reale tramite i propri canali, incluso il profilo Twitter ufficiale. La vulnerabilità sottolinea ancora una volta la necessità di un patch management efficace e di soluzioni WAF proattive.
🔗 Per approfondimenti tecnici, Akamai ha pubblicato un’analisi dettagliata sul proprio blog.
