Nowa luka w Citrix NetScaler — oznaczona jako CVE-2025-5777 i nieoficjalnie nazwana „Citrix Bleed 2” — stawia administratorów w niekomfortowej sytuacji. Mimo że Citrix uspokajał, że błąd nie jest aktywnie wykorzystywany, publikacja proof-of-concept i analiza logów sugerują coś odwrotnego.

Podatność pozwala na odczyt pamięci urządzenia za pomocą prostych żądań POST. W praktyce oznacza to, że przy każdej próbie można uzyskać drobny wyciek danych — 127 bajtów — ale poprzez powtarzane żądania możliwe jest odzyskanie cennych informacji, w tym danych logowania lub tokenów sesyjnych. To dokładnie ta kategoria błędów, która w złych rękach przeradza się w poważne incydenty bezpieczeństwa.

Choć Citrix zapewniał, że nie ma dowodów na aktywne wykorzystanie podatności, badacze z branży security wskazują, że można je znaleźć w logach urządzeń. A historia — i wcześniejsza luka Citrix Bleed z 2023 roku — pokazuje, że zwlekanie z reakcją może mieć wysoką cenę. Poprzedni błąd również został początkowo zbagatelizowany, a skończyło się masowymi atakami ransomware i wyciekiem danych z firm, które nie wdrożyły poprawek na czas.

Citrix wydał już aktualizacje łatające CVE-2025-5777 i zaleca nie tylko ich natychmiastową instalację, ale także ręczne zakończenie aktywnych sesji, które mogłyby zostać przejęte. To środek ostrożności, który może zminimalizować skutki ewentualnego wycieku.

Incydent stawia pytanie o poziom zaufania do oświadczeń producentów i ponownie pokazuje, że „brak dowodów” to nie to samo, co „brak ataków”. Dla zespołów bezpieczeństwa to sygnał, że każda luka — nawet oficjalnie „nieaktywnie wykorzystywana” — powinna być traktowana priorytetowo.

Wnioski? Reagowanie w oparciu o PR to zła strategia bezpieczeństwa. Citrix Bleed 2 może nie być powtórką z 2023 roku, ale tylko pod warunkiem, że administratorzy zareagują szybko, a nie tylko wtedy, gdy pojawi się pierwsza ofiara.