È emersa una nuova grave vulnerabilità nei prodotti Citrix NetScaler ADC e Gateway, soprannominata CitrixBleed 2.0.
Il nome richiama “CitrixBleed”, una falla critica scoperta nel 2023 (CVE-2023-4966) che permetteva a una semplice richiesta HTTP di estrarre porzioni di memoria dai sistemi NetScaler, rivelando token di sessione validi e di fatto consentendo di bypassare l’autenticazione a più fattori.
Oggi, a due anni di distanza, la storia si ripete: la nuova vulnerabilità CVE-2025-5777 presenta caratteristiche analoghe, ma con impatto potenzialmente ancora maggiore. In Italia, oltre 700 tra grandi aziende e Pubbliche Amministrazioni risultano avere NetScaler esposti in rete e dunque a rischio di exploit da parte di attaccanti, se non corrono ai ripari.
Aggiornamento: 8 giugno 2025
Sfruttando il PoC da poco reso disponibile, i criminali informatici hanno iniziato a effettuare scansioni pubbliche mirate a individuare host vulnerabili alla vulnerabilità CVE-2025-5777, ribattezzata CitrixBleed 2.0.
L’allarme è stato lanciato dal CERT-AgID secondo cui, su una lista di 18mila host, attualmente risultano essere oltre 70 i domini italiani potenzialmente esposti, tra cui Pubbliche Amministrazioni, istituti bancari, agenzie assicurative e organizzazioni private.
È dunque importante procedere quanto prima all’aggiornamento dei propri sistemi seguendo le best practice indicate nell’articolo.
Indice degli argomenti
I dettagli della falla CitrixBleed 2.0
La vulnerabilità CitrixBleed 2.0 (CVE-2025-5777) è stata divulgata a metà giugno 2025 e valutata con severità critica (punteggio CVSS di 9.3).
Si tratta di un bug di tipo “out-of-bounds read” (CWE-125) dovuto ad una lacunosa validazione degli input: in pratica un attaccante remoto non autenticato può inviare richieste appositamente predisposte a un NetScaler configurato come gateway, come accade nelle configurazioni Virtual Private Network, ICA Proxy, CVPN, o RDP Proxy, oppure come servizio AAA, inducendo quindi il sistema a leggere aree di memoria oltre i limiti previsti.
L’effetto è un “memory leak”: porzioni della memoria del dispositivo vengono restituite nella risposta. Tra le informazioni sensibili potenzialmente esposte vi sono anche token di sessione attivi degli utenti leciti.
Un aggressore, ottenendo un token valido, potrebbe utilizzarlo per impersonare l’utente legittimo e accedere ai servizi aziendali attraverso il gateway Citrix bypassando l’autenticazione multi-fattore (MFA).
È esattamente lo scenario che rese pericolosa la falla originale CitrixBleed: un malintenzionato poteva saltare login e MFA sfruttando i cookie di sessione sottratti e prendere il controllo delle sessioni Citrix altrui, amministratori compresi.
Il logo usato per identificare CitrixBleed 2.0 nella community di cyber sicurezza.
Inizialmente, la descrizione del CVE, pubblicata il 17 giugno 2025, indicava erroneamente che il problema riguardasse solo l’interfaccia di management (NSIP) dei dispositivi, la quale per best practice non andrebbe mai esposta su Internet.
Tuttavia, Citrix ha successivamente aggiornato il bollettino chiarendo che la falla interessa invece le istanze NetScaler configurate come gateway/AAA, ovvero quelle accessibili dagli utenti per l’accesso remoto.
Ciò ha ampliato drasticamente il perimetro d’impatto: praticamente qualunque NetScaler Gateway esposto pubblicamente è vulnerabile, a meno che non sia già stato aggiornato con le patch correttive.
Falla CitrixBleed 2.0: impatto e rischi
Le vulnerabilità sui dispositivi Citrix NetScaler hanno dimostrato negli ultimi anni di essere bersagli privilegiati dai criminali informatici.
Basti pensare che la prima falla CitrixBleed del 2023 (CVE-2023-4966) è stata attivamente sfruttata come vettore di ingresso iniziale in numerosi attacchi di alto profilo. L’agenzia USA CISA, ad esempio, ha dovuto allertare con urgenza le organizzazioni di applicare le patch, poiché gruppi ransomware come LockBit hanno rapidamente integrato l’exploit nei propri arsenali.
Proprio LockBit ha usato la prima versione di CitrixBleed per violare aziende di calibro mondiale, tra cui Boeing, ICBC, DP World e lo studio legale Allen & Overy, rubando dati e distribuendo ransomware nelle loro reti.
La nuova falla CitrixBleed 2.0 possiede le stesse pericolose caratteristiche e il suo sfruttamento è solo questione di tempo. Anche se al momento non si registrano exploit attivi in-the-wild, questa vulnerabilità ha tutte le carte in regola per attirare l’interesse degli attaccanti. L’abuso avverrà ad un certo punto: è solo una questione di quando.
Citrix, dal canto suo, nella comunicazione iniziale ha affermato di non avere evidenza di exploit in corso per CVE-2025-5777; va però ricordato che anche per il CitrixBleed del 2023 inizialmente si disse lo stesso, salvo poi scoprire attacchi reali poco dopo.
Inoltre, al momento mancano indicatori di compromissione pubblici o linee guida di detection specifiche per riconoscere tentativi di exploit di CitrixBleed2.
In assenza di “segnali d’allarme” affidabili, una mancata applicazione della patch potrebbe portare le organizzazioni a scoprire l’attacco solo a fatto compiuto.
Cosa fare adesso?
Di fronte a questa minaccia, la raccomandazione è di agire con tempestività ma senza panico, attuando misure di mitigazione immediata:
- Applicare le patch su tutti i NetScaler esposti (ADC e Gateway). Citrix ha rilasciato aggiornamenti correttivi per le versioni supportate dei prodotti NetScaler ADC/Gateway. In particolare, occorre portare i sistemi almeno alle release 14.1-43.56 (o successive) oppure 13.1-58.32 (o successive) a seconda del ramo in uso. Sono disponibili build patchate anche per i rami FIPS/NDcPP (es. 13.1-37.235) e 12.1-FIPS. Va evidenziato che le versioni 12.1 e 13.0 di NetScaler sono ormai End-of-Life e non più supportate e dunque intrinsecamente vulnerabili – in tali casi è necessario pianificare al più presto un upgrade a versioni mantenute.
- Terminare tutte le sessioni attive dopo aver applicato la patch. Analogamente a quanto suggerito per la precedente CitrixBleed, Citrix raccomanda di chiudere tutte le sessioni utente esistenti una volta aggiornati i dispositivi, in modo da invalidare eventuali token di sessione rubati. A tal fine, il vendor ha fornito due comandi da eseguire sulle appliance NetScaler post-patch (in cluster o HA pair): “kill icaconnection -all” e “kill pcoipConnection -all”.
Bollettino ufficiale e riconoscimenti
Il produttore Citrix ha pubblicato il bollettino di sicurezza CTX693420 contenente i dettagli tecnici e le istruzioni di remediation per queste vulnerabilità. Nel bollettino, Citrix accredita Positive Technologies, azienda di sicurezza russa particolarmente nota per competenze in ethical hacking, e ITA MOD CERT (CERT Difesa) tra le entità che hanno collaborato nella scoperta e segnalazione del problema.
Il coinvolgimento del CERT della Difesa italiana è un elemento di particolare rilievo: da un lato evidenzia l’eccellenza e l’impegno delle strutture nazionali nella scoperta di vulnerabilità critiche a livello globale; dall’altro implica che è stata data all’Italia un’anticipazione sul problema, permettendo – si auspica – di allertare per tempo gli enti governativi e le aziende strategiche sul territorio.
Non a caso, l’Agenzia per la Cybersicurezza Nazionale (ACN) tramite il CSIRT Italia ha diffuso il bollettino di allerta AL05/250617/CSIRT-ITA invitando ad applicare urgentemente gli aggiornamenti sui prodotti Citrix interessati.
Esposizione in Italia e rischi per le organizzazioni
L’Italia, come molti Paesi, presenta una vasta base installata di soluzioni Citrix NetScaler, soprattutto presso grandi aziende e infrastrutture pubbliche. Si stima da rilevazioni open-source (ad es. motori di scansione come Shodan) che oltre 700 sistemi NetScaler Gateway risultino esposti su IP italiani, appartenenti a organizzazioni enterprise e Pubbliche Amministrazioni.
Ciò significa che centinaia di enti nel nostro Paese potrebbero essere vulnerabili a CitrixBleed2 se non aggiornano immediatamente.
Considerata la tipologia di sistema in questione, spesso impiegato per consentire accesso remoto a dipendenti e fornitori ai sistemi interni, una compromissione avrebbe conseguenze gravi: un attacker potrebbe entrare nella rete aziendale come se fosse un utente autorizzato, eludendo i controlli di login.
Da lì, potrebbe muoversi lateralmente, sottrarre dati riservati, distribuire malware ransomware o sabotare servizi essenziali.
Non intervenire prontamente equivale a lasciare spalancata una porta d’ingresso ai criminali informatici.
Esposizione internet dei dispositivi Citrix potenzialmente attaccabili da CitrixBleed 2.0 in Italia.
Conclusioni
La vicenda CitrixBleed 2.0 sottolinea ancora una volta l’importanza di imparare dalle esperienze passate in ambito cyber.
Vulnerabilità critiche su sistemi perimetrali come Citrix NetScaler rappresentano una minaccia concreta e ricorrente: chi non ha tratto insegnamento dalla falla del 2023 rischia oggi di ripetere gli stessi errori, magari confidando che un attacco non li colpirà.
Purtroppo, come abbiamo visto, non è una speranza fondata, se una vulnerabilità esiste ed è nota, gli aggressori proveranno a sfruttarla, e prima o poi ci riusciranno se trovano sistemi scoperti.
