CVE-2025-5775

GreyNoise сообщает о детектировании скоординированной разведывательной кампании, нацеленной на инфраструктуру Citrix NetScaler, в которой задействовались десятки тысяч резидентных прокси-серверов для выявления панелей авторизации.

Активность наблюдалась в период с 28 января по 2 февраля и также фокусирвяоалась на идентификации версий продукта, что указывает на спланированную организованную работу по целевому поиску и картировании инфраструктуры.

Целенаправленное указание пути к файлу настройки EPA свидетельствует о заинтересованности в разработке эксплойтов для конкретных версий или проверке уязвимостей на соответствие известным недостаткам Citrix ADC.

Исследователи отследили источник сканирующего трафика до более чем 63 000 различных IP, с которых было запущено 111 834 сессии. По данным GreyNoise, 79% трафика было направлено на ханипоты Citrix Gateway.

Примерно 64% трафика приходилось на резидентные прокси-серверы с IP, распределенными по всему миру, которые отображались как легитимные адреса интернет-провайдеров и обходили фильтрацию на основе репутации. Оставшиеся 36% приходились на один IP Azure.

Исследователи отмечают два признака вредоносных воздействий: наиболее активный из них связана с 109 942 сессиями с 63 189 уникальных IP и нацелен на интерфейс аутентификации по адресу '/logon/LogonPoint/index.html' для выявления уязвимых панелей входа в Citrix в масштабах предприятия.

Второй показатель, зафиксированный 1 февраля, представлял собой шестичасовой спринт с 10 IP, запустившими 1892 сессии, ориентированные на URL-адрес /epa/scripts/win/nsepa setup.exe для определения версий Citrix с помощью артефактов EPA.

GreyNoise отмечает, что злоумышленник использовал пользовательский агент для Chrome 50, выпущенного в начале 2016 года.

При этом быстрое начало и завершение указывают на целенаправленный цикл сканирования, который мог быть инициирован обнаружением уязвимых конфигураций EPA или информацией об условиях развертывания.

К числу наиболее серьезных уязвимостей, затрагивающих продукты Citrix, относятся CVE-2025-5777, также известная как CitrixBleed, и CVE-2025-5775, RCE-уязвимость, которая была использована в качестве 0-day.

GreyNoise представила несколько способов обнаружения новой наблюдаемой активности, а также IP-адреса, использованные для запуска сканирования.

Кроме того, исследователи рекомендуют пересмотреть необходимость использования шлюзов Citrix, доступных из интернета, ограничить доступ к каталогу /epa/scripts/, отключить раскрытие версий в HTTP-ответах и отслеживать аномальный доступ со стороны домашних провайдеров.