Una vulnerabilità critica, identificata come CVE-2025-5777 e battezzata “CitrixBleed 2”, sta esponendo numerosi sistemi italiani a gravi rischi di sicurezza. Il difetto, simile alla nota falla CVE-2023-4966 già sfruttata in passato in attacchi di ampia scala, interessa Citrix NetScaler ADC e NetScaler Gateway.

Sebbene Citrix abbia rilasciato le patch a inizio giugno 2025, l’attenzione sulla vulnerabilità è cresciuta rapidamente in seguito al rilascio di un Proof-of-Concept (PoC) pubblico e prime segnalazioni di sfruttamento attivo in-the-wild.

Secondo quanto segnalato dal CERT-AGID, nelle ultime ore sono state rilevate scansioni pubbliche volte a identificare host vulnerabili in Italia. Attualmente, su una lista di 18.000 host analizzati, oltre 70 domini italiani risultano potenzialmente esposti. Tra questi figurano anche sistemi di Pubbliche Amministrazioni, istituti bancari, agenzie assicurative e aziende private.

Come funziona l’attacco

La vulnerabilità deriva da una insufficiente validazione degli input che consente a un attaccante remoto non autenticato di inviare richieste appositamente costruite che permettono di ottenere risposte contenenti parti di memoria non inizializzate o sensibili.

In sintesi:

  • L’attaccante invia una richiesta HTTP POST mnipolata all’endpoint di login del gateway Citrix.
  • La richiesta include solo il parametro login senza valore né simbolo “=”.
  • Il server restituisce una risposta contenente il tag XML <InitialValue>, che può esporre dati di memoria non inizializzata.
  • Il contenuto viene restituito fino al primo byte nullo. Tuttavia, richieste ripetute possono rivelare segmenti di memoria aggiuntivi.

Impatti potenziali

Un attacco riuscito permette a soggetti non autorizzati di:

  • accedere a token di autenticazione direttamente dalla memoria del dispositivo;
  • bypassare l’autenticazione a più fattori (MFA);
  • dirottare sessioni utente attive;
  • ottenere accesso non autorizzato a sistemi critici.

Le conseguenze vanno da violazioni dei dati e accessi non autorizzati, fino a possibili attacchi ransomware o interruzioni operative.

Azioni di mitigazione

Il CERT-AGID raccomanda di:

  • Applicare le patch per tutte le versioni supportate e/o aggiornare immediatamente le versioni EOL.
  • Dopo l’aggiornamento, terminare tutte le sessioni attive per prevenire accessi non autorizzati tramite sessioni compromesse.
  • Monitorare i log per attività sospette, in particolare accessi anomali o provenienti da IP non riconosciuti.

https://cert-agid.gov.it/news/vulnerabilita-critica-in-citrix-riscontrata-su-host-italiani/

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: