Mỹ cảnh báo lỗ hổng nghiêm trọng trên sản phẩm Citrix NetScaler

Theo CISA, CVE-2025-5777 có điểm CVSS 9.3, là một lỗi xác thực đầu vào không đầy đủ (insufficient input validation), cho phép kẻ tấn công vượt qua cơ chế xác thực nếu thiết bị Citrix NetScaler được cấu hình dưới dạng Gateway hoặc máy chủ ảo AAA. Lỗ hổng này được ví như "Citrix Bleed 2" do có cơ chế tương tự với lỗ hổng “Citrix Bleed” (CVE-2023-4966) từng bị khai thác trước đó.

NetScaler, thiết bị mạng của Citrix đang bị tin tặc khai thác lỗ hổng bảo mật nghiêm trọng, đe dọa an toàn hệ thống doanh nghiệp trên toàn cầu.

Mặc dù phía Citrix (thuộc tập đoàn NetScaler) chưa cập nhật thông tin chính thức về việc lỗ hổng bị khai thác, nhiều hãng an ninh mạng độc lập đã xác nhận tình trạng này. Chuyên gia bảo mật Kevin Beaumont từng làm việc cho Tập đoàn Microsoft cho biết, các cuộc tấn công khai thác Citrix Bleed 2 đã diễn ra từ giữa tháng 6/2025, với một số địa chỉ IP tham gia được cho là có liên hệ với nhóm tống tiền RansomHub.

Dữ liệu từ hệ thống giám sát GreyNoise cho thấy ít nhất 10 địa chỉ IP độc hại từ Bulgaria, Mỹ, Trung Quốc, Ai Cập và Phần Lan đang tích cực khai thác lỗ hổng. Mục tiêu chủ yếu là các tổ chức tại Mỹ, Pháp, Đức, Ấn Độ và Ý.

Nguy cơ đặc biệt lớn do Citrix NetScaler thường được dùng làm điểm truy cập trung tâm vào mạng doanh nghiệp từ VPN, cổng xác thực một lần (SSO) đến giao diện quản trị. Khi bị khai thác, tin tặc có thể đánh cắp mã phiên (session token), truy cập trái phép vào mạng nội bộ, ứng dụng đám mây hoặc bảng điều khiển quản trị mở đường cho các cuộc tấn công lan rộng trong hệ thống IT lai (hybrid IT) có phân vùng yếu.

Bên cạnh CVE-2025-5777, CISA cũng thêm lỗ hổng khác trên sản phẩm này CVE-2025-6543 (CVSS 9.2) vào danh mục KEV từ ngày 30/6/2025, do ghi nhận đã bị khai thác thực tế.

Tổ chức bảo mật Akamai cảnh báo, "lượng truy cập từ các công cụ quét lỗ hổng đã tăng vọt" sau khi mã khai thác được công bố công khai. Akamai cũng giải thích thuật ngữ “Citrix Bleed” là do lỗ hổng có thể bị khai thác liên tục, rò rỉ từng phần nhỏ bộ nhớ mỗi lần tương tự như kiểu “chảy máu” thông tin nhạy cảm.

CISA khuyến cáo các tổ chức cần lập tức cập nhật lên bản vá mới nhất được Citrix công bố ngày 17/6/2025, bao gồm phiên bản 14.1-43.56 trở lên. Sau khi cập nhật, tất cả phiên đăng nhập hiện tại đặc biệt là qua AAA hoặc Gateway cần được chấm dứt bắt buộc để vô hiệu hóa mã phiên đã bị đánh cắp. Quản trị viên cũng được khuyến nghị kiểm tra nhật ký hệ thống (như ns.log) để phát hiện truy vấn lạ đến các điểm xác thực như /p/u/doAuthentication.do, đồng thời rà soát phản hồi chứa dữ liệu XML bất thường. Do đây là lỗi đọc tràn bộ nhớ (memory overread), nên không để lại dấu vết phần mềm độc hại điển hình, khiến việc chiếm quyền phiên và tái sử dụng phiên trở thành nguy cơ đáng lo ngại nhất.

Ngoài NetScaler, một lỗ hổng nghiêm trọng khác CVE-2024-36401 (CVSS 9.8) trong phần mềm nguồn mở OSGeo GeoServer GeoTools cũng bị khai thác để cài phần mềm đào tiền mã hóa XMRig và công cụ NetCat tại Hàn Quốc. Tin tặc đã lợi dụng hệ điều hành Windows và Linux có cài GeoServer để chạy mã PowerShell hoặc shell script cài phần mềm khai thác tài nguyên hệ thống nhằm đào đồng Monero, đồng thời có thể dùng NetCat để đánh cắp dữ liệu hoặc cài thêm phần mềm độc hại.

Các chuyên gia nhận định, trong bối cảnh xu hướng tấn công vào phần mềm trung gian (middleware) ngày càng phổ biến, các tổ chức bao gồm cả tại Việt Nam cần đặc biệt cảnh giác với thiết bị cổng truy cập mạng và dịch vụ xác thực. Việc trì hoãn cập nhật bản vá hoặc xem nhẹ rủi ro có thể khiến toàn bộ hệ thống công nghệ thông tin trở thành mục tiêu tấn công có chủ đích.

Duy Trinh (Theo the Hacker News)