Kerentanan kedua pada Citrix NetScaler — dijuluki Citrix Bleed 2 — ternyata telah dieksploitasi oleh pelaku ancaman sejak awal Juni 2024, beberapa minggu sebelum bukti eksploitasi (PoC) dipublikasikan dan sebelum Citrix mengakui adanya serangan aktif.
Peneliti keamanan dari Mandiant mengungkap bahwa eksploitasi CVE-2024-6387 terjadi dua minggu sebelum Citrix secara resmi menyatakan adanya penyalahgunaan aktif, memperlihatkan adanya jeda komunikasi yang cukup kritis di tengah situasi yang berdampak pada ribuan organisasi.
Kronologi Singkat:
- 🗓️ Awal Juni 2024: Eksploitasi aktif dimulai oleh pelaku APT.
- 🔐 Celah (CVE-2024-6387): Memungkinkan pengambilalihan sesi pengguna dan pencurian kredensial.
- 🧪 13 Juni: Eksploit tersedia untuk peneliti, tapi belum dipublikasikan.
- 📢 Citrix awalnya menyangkal adanya eksploitasi aktif.
- 💥 Akhir Juni: PoC publik muncul, mendorong peningkatan serangan.
Dampak:
- Menargetkan sistem NetScaler ADC dan Gateway.
- Digunakan dalam serangan terarah (targeted), termasuk sektor pemerintahan dan perusahaan besar.
- Eksploitasi tidak memerlukan autentikasi — cukup akses ke portal login Citrix.
Kritik terhadap Respons Citrix
Beberapa pakar menyayangkan respons Citrix yang dianggap lamban:
- Tidak langsung memperingatkan adanya serangan aktif
- Komunikasi publik dianggap terlalu lambat
- Menyebabkan banyak sistem tetap terbuka untuk eksploitasi selama berminggu-minggu
Rekomendasi:
- Segera update sistem Citrix ke versi patch terbaru.
- Audit akses login dan sesi pengguna yang mencurigakan.
- Terapkan mitigasi seperti MFA dan pemantauan akses tidak biasa ke NetScaler.
Cocok untuk:
- Admin infrastruktur dan jaringan perusahaan
- Tim keamanan siber (SOC/CSIRT)
- Organisasi yang menggunakan Citrix Gateway/ADC