Eksploitasi baru untuk kerentanan serius di Citrix NetScaler ADC dan Gateway telah dipublikasikan secara terbuka, menandai fase baru yang mengancam ribuan sistem enterprise. Kerentanan ini dikenal dengan julukan “CitrixBleed 2”, dan telah diberi kode CVE-2024-6235, mengancam sistem dengan kemungkinan eskalasi akses dan pengambilalihan akun.
Ringkasan Singkat
Kerentanan CVE-2024-6235 ditemukan dalam komponen AAA (Authentication, Authorization, and Accounting) di Citrix NetScaler, dan memungkinkan penyerang yang tidak terautentikasi untuk mengeksploitasi sistem jika fitur AAA diaktifkan.
Citrix sendiri telah merilis patch pada 25 Juni 2024, namun dengan dirilisnya kode eksploitasi publik, risiko serangan massal dan otomatisasi meningkat tajam.
Detail Teknis dan Eksploitasi
- Kerentanan ini memungkinkan penyerang membaca data sensitif dari memori, mirip seperti vektor serangan Heartbleed di masa lalu.
- Eksploit bisa digunakan untuk mendapatkan token sesi, kredensial, atau data pengguna aktif.
- Telah terkonfirmasi bahwa eksploitasi bekerja pada versi NetScaler sebelum 14.1-12.35, 13.1-51.15, 13.0-92.21, dan 12.1-71.34.
- Peneliti keamanan dari Bishop Fox membagikan proof-of-concept (PoC) eksploit yang berfungsi penuh.
Potensi Dampak
- Akses tidak sah ke akun admin dan data sensitif
- Pencurian sesi aktif, bahkan tanpa kredensial
- Pengambilalihan infrastruktur internal jika perangkat NetScaler terhubung ke sistem lainnya
- Cocok dieksploitasi oleh botnet atau ransomware operator
Karena eksploit kini bersifat publik, pelaku ancaman bisa mengotomatisasi serangan dan memindai ribuan perangkat NetScaler yang terhubung ke internet.
Tindakan yang Disarankan
Citrix dan para peneliti keamanan mendesak semua administrator TI untuk:
- Segera menerapkan pembaruan keamanan terbaru untuk NetScaler ADC dan Gateway
- Audit sesi aktif dan akun pengguna penting
- Monitor log sistem untuk aktivitas mencurigakan
- Blokir akses ke perangkat NetScaler dari internet jika tidak diperlukan
Pernyataan Resmi Citrix
Citrix menyatakan bahwa mereka telah merespons cepat dengan patch dan akan terus memantau situasi. Semua pelanggan enterprise diminta tidak menunda pembaruan, karena ancaman kini bukan lagi potensial — tetapi aktif.