CVE‑2025‑5777: vulnerabilità critica nei software NetScaler

CVE‑2025‑5777 è una vulnerabilità critica in NetScaler ADC e Gateway. Scopri come funziona e come proteggere i tuoi sistemi.

Negli ultimi anni, la digitalizzazione dei processi aziendali ha reso i sistemi di autenticazione remota sempre più diffusi. Queste soluzioni permettono agli utenti di accedere da remoto alle infrastrutture aziendali, migliorando la flessibilità operativa. Tuttavia, qualsiasi vulnerabilità in tali meccanismi può rappresentare un serio rischio per la sicurezza, esponendo l’intera rete a potenziali compromissioni.

Che cos’è CVE-2025-5777
Come viene sfruttata CVE‑2025‑5777
Prevenzione e difesa contro CVE‑2025‑5777

cve-2025-5777 vulnerabilita critica netscaler image

È il caso di CVE-2025-5777, una vulnerabilità di tipo information disclosure recentemente individuata nelle piattaforme Citrix NetScaler ADC e NetScaler Gateway. Questi sistemi, adottati da molte aziende per la gestione degli accessi VPN, la pubblicazione di applicazioni e il bilanciamento del traffico, sono oggi al centro dell’attenzione a causa di un bug critico nella gestione della memoria durante il processo di autenticazione.

In questo articolo analizzeremo nel dettaglio il funzionamento di CVE-2025-5777, i potenziali impatti per le organizzazioni e le principali contromisure da adottare per mitigare la minaccia.

Che cos’è CVE‑2025‑5777

Soprannominata CitrixBleed2 dal ricercatore Kevin Beaumont di Double Pulsar, per la forte somiglianza con CVE-2023-4966 (CitrixBleed), è una vulnerabilità critica che consente letture di memoria out-of-bounds da remoto. Il problema risiede in una gestione impropria delle richieste HTTP POST durante la fase di autenticazione sulle piattaforme NetScaler ADC e NetScaler Gateway. In pratica, un attaccante può inviare una richiesta di login malformata all’endpoint di autenticazione e innescare una condizione di memory over-read, ottenendo porzioni di memoria che non dovrebbero essere accessibili.

I dati esposti includono:

Token di sessione attivi;
Credenziali di account con privilegi elevati;
File amministrativi e frammenti sensibili in memoria.

Ciò che rende molto pericolosa questa vulnerabilità, è che l’attacco può essere condotto prima dell’autenticazione, poiché non è necessaria alcuna credenziale valida. Questo permette a un attore malevolo di ottenere accessi privilegiati e compromettere l’intero ambiente aziendale senza alcuna interazione iniziale con il sistema. Vista la sua natura, CitrixBleed2 ha ricevuto un punteggio pari a 9.3 su 10 sulla scala CVSS, indicante un rischio particolarmente critico.

Come viene sfruttata CVE‑2025‑5777

Le analisi condotte da Cyfirma hanno dimostrato che la vulnerabilità deriva da un errore nella gestione dei parametri form nelle richieste POST con intestazione application/x-www-form-urlencoded gestite dalla servlet di autenticazione /p/u/doAuthentication.do.
Durante il processo, le richieste vengono deserializzate per estrarre le credenziali dell’utente e inizializzare la sessione. Tuttavia, se un parametro è malformato, il server interpreta comunque il campo senza mostrare errori. A quel punto, alloca o riutilizza buffer di memoria non completamente inizializzati e inserisce nella risposta XML oggetti Java parzialmente inizializzati.

Il contenuto XML è costituito dinamicamente con funzioni come StringBuilder.append(), che concatenano direttamente i byte del buffer in una stringa. Non essendoci né una pulizia preventiva della memoria, né un controllo sui limiti dei dati, frammenti residui di sessioni precedenti, credenziali o richieste pregresse finiscono nella risposta inviata all’attaccante.

Condizioni per eseguire l’exploit

Affinché l’exploit abbia successo, servono alcune condizioni specifiche, ma non rare:

Il server deve essere configurato in modalità VPN o AAA (Authentication, Authorization, and Auditing);
L’endpoint /p/u/doAuthentication.do deve essere esposto e raggiungibile;
L’accesso all’endpoint non deve richiedere alcuna autenticazione preliminare;
La memoria deve contenere dati residui utili, come frammenti di sessioni o cache temporanee.

A causa della randomizzazione dell’heap e del comportamento dei buffer riutilizzati, potrebbero essere necessari più tentativi per ottenere dati completi. Tuttavia, una volta acquisito un token valido, l’attaccante può inserirlo come cookie nelle successive richieste verso le risorse aziendali. Il backend di NetScaler finisce per considerare quest’ultimo come valido e autentica automaticamente la sessione, bypassando anche eventuali sistemi di autenticazione multifattore (MFA). In questo modo, l’attaccante ottiene un accesso non autorizzato a:

VPN e sistemi remoti;
Applicazioni protette da SSO;
Interfacce di amministrazione.

Impatto operativo di CVE‑2025‑5777

CVE-2025-5777 ha interessato numerose infrastrutture a livello globale, soprattutto in Nord America, Europa, Asia e Medio-Oriente. Gli incidenti maggiori si sono registrati principalmente nei settori che fanno ampio uso delle soluzioni NetScaler ADC e NetScaler Gateway, tra cui:

Telecomunicazioni;
Finanza;
Enti governativi;
Sanità.

Questi ambiti gestiscono dati ad alta sensibilità e servizi essenziali, rendendo particolarmente critico qualsiasi accesso non autorizzato. Un exploit riuscito può comportare una serie di conseguenze operative gravi, tra cui:

Furto di credenziali. Informazioni sensibili archiviate temporaneamente in memoria, come username e password, possono essere intercettate e usate per attacchi successivi, o per mantenere un accesso persistente.
Movimento laterale. Sfruttando token o credenziali validi, gli attaccanti possono spostarsi all’interno della rete e compromettere sistemi collegati tramite NetScaler/Gateway.
Compromissione e abuso dei servizi. Il controllo delle sessioni consente di interrompere servizi critici, modificare politiche di sicurezza, alterare configurazioni o persino reindirizzare il traffico verso infrastrutture malevole.

Prevenzione e difesa contro CVE‑2025‑5777

Alla luce di quanto visto finora, risulta evidente come CVE-2025-5777 sia una minaccia ad alto impatto per le infrastrutture digitali di aziende e imprese. Per ridurre il rischio di compromissione e mitigare eventuali conseguenze, è fondamentale applicare un insieme di best practice di sicurezza. Di seguito, quelle più efficaci contro vulnerabilità simili.

Aggiornare Citrix all’ultima versione disponibile.
Citrix ha rilasciato aggiornamenti di sicurezza per correggere CVE‑2025‑5777. Applicare tempestivamente le patch ufficiali è la prima linea di difesa contro l’exploitation attiva della vulnerabilità.
Terminare tutte le sessioni attive.
Dopo l’aggiornamento, è buona prassi terminare tutte le sessioni VPN esistenti e quelle utente ancora aperte, così da invalidare eventuali token già sottratti o in circolazione.
Adottare robuste politiche di autenticazione.
Bisogna abilitare il session binding (IP, device fingerprint), definire una scadenza per i token di sessione ed evitare configurazioni di autenticazione troppo permissive.
Limitare l’esposizione pubblica.
È fondamentale ridurre la superficie di attacco evitando l’esposizione non necessaria degli endpoint critici. Si consiglia di restringere gli accessi l’accesso alle interfacce di gestione e autenticazione tramite whitelist di IP autorizzati, segmentazione della rete, ACL (Access Control List) mirate. Gli endpoint di autenticazione non vanno mai esposti su Internet, a meno che non sia strettamente necessario.
Monitorare e analizzare i log.
Controllare regolarmente i log di NetScaler aiuta a identificare eventuali attività anomale, come richieste POST malformate, sessioni di replay ad alta frequenza o tentativi di impersonificazione di un determinato utente.
Implementare il Deep Packet Inspection (DPI).
Queste soluzioni consentono di ispezionare in profondità il traffico HTTP per rilevare pattern malevoli, chiamate API non autorizzate e tentativi di exploit sugli endpoint di autenticazione.
Segmentazione di rete e principio del privilegio minimo.
Isolare NetScaler dalle reti di produzione e da quelle di gestione interne è cruciale per limitare i movimenti laterali. Ogni sistema dovrebbe comunicare solo con ciò che è strettamente necessario.
Condurre vulnerability assessment periodici con esperti qualificati
Affidarsi a professionisti qualificati, come quelli di Cyberment, permette di ottenere un vulnerability assessment mirato per rafforzare la protezione delle infrastrutture aziendali.

Autore articolo
Gli ultimi articoli

Roberto Caprara

Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.