Citrix, SAP GUI et Vol de jetons: une plongée profonde dans les vulnérabilités récentes

Explorez les vulnérabilités critiques dans Citrix NetScaler et SAP GUI, mettant en évidence les risques de vol et d'exposition aux données et d'offrir des stratégies d'atténuation essentielles.

The cybersecurity landscape is ever-evolving, and recent disclosures concerning Citrix and SAP GUI highlight the persistent threats organizations face. With vulnerabilities leading to potential token theft and sensitive data exposure, understanding these issues is crucial. Let's delve into the specifics.

Le paysage de la cybersécurité est en constante évolution, et des divulgations récentes concernant Citrix et SAP GUI mettent en évidence les menaces persistantes auxquelles les organisations sont confrontées. Avec des vulnérabilités conduisant à un vol de jeton potentiel et à une exposition aux données sensibles, la compréhension de ces problèmes est cruciale. Plongeons dans les détails.

Citrix Bleed 2: A New Wave of Token Theft

Citrix Bleep 2: une nouvelle vague de vols à jeton

A critical-rated security flaw, CVE-2025-5777, in NetScaler ADC and Gateway products (formerly Citrix ADC and Gateway) has emerged, threatening unauthorized access via token theft. Dubbed 'Citrix Bleed 2' due to its similarities to the infamous CVE-2023-4966, this vulnerability stems from insufficient input validation. Attackers can exploit this flaw to grab valid session tokens from memory through malformed requests, effectively bypassing authentication. This is particularly concerning when NetScaler is configured as a Gateway or AAA virtual server.

Un défaut de sécurité évalué par la critique, CVE-2025-5777, dans NetScaler ADC et Gateway Products (anciennement Citrix ADC et Gateway) a émergé, menaçant un accès non autorisé via un vol de jeton. Surnommé «Citrix Said 2» en raison de ses similitudes avec le tristement célèbre CVE-2023-4966, cette vulnérabilité découle d'une validation d'entrée insuffisante. Les attaquants peuvent exploiter cette faille pour saisir des jetons de session valides à partir de la mémoire par le biais de demandes mal formées, contournant efficacement l'authentification. Ceci est particulièrement préoccupant lorsque NetScaler est configuré comme une passerelle ou un serveur virtuel AAA.

The urgency is amplified by the fact that while there's no confirmed weaponization yet, experts believe it possesses all the hallmarks of a high-interest target for malicious actors. The initial limitations associated with the vulnerability have also been removed, suggesting a potentially broader impact than initially anticipated.

L'urgence est amplifiée par le fait que bien qu'il n'y ait pas encore d'armement confirmé, les experts pensent qu'il possède toutes les caractéristiques d'une cible à intérêt élevé pour les acteurs malveillants. Les limitations initiales associées à la vulnérabilité ont également été supprimées, suggérant un impact potentiellement plus large que prévu initialement.

Versions at Risk and Mitigation

Versions à risque et atténuation

Several NetScaler ADC and Gateway versions are affected, including 14.1 before 14.1-43.56, 13.1 before 13.1-58.32, and various FIPS-compliant versions. Alarmingly, versions 12.1 and 13.0, now End of Life (EOL), remain vulnerable without available patches. Organizations using Secure Private Access on-premises or hybrid deployments with NetScaler instances are urged to upgrade immediately. Post-upgrade, terminating all active ICA and PCoIP sessions is crucial.

Plusieurs versions NetScaler ADC et Gateway sont affectées, dont 14.1 avant 14.1-43.56, 13.1 avant 13.1-58.32, et diverses versions conformes aux FIP. Alarmant, les versions 12.1 et 13.0, maintenant en fin de vie (EOL), restent vulnérables sans correctifs disponibles. Les organisations utilisant un accès privé sécurisé sur site ou des déploiements hybrides avec des instances NetScaler sont invités à mettre à niveau immédiatement. Il est crucial de terminer la mise en place de toutes les séances ICA et PCOIP actives.

SAP GUI's Input History: A Data Exposure Nightmare

Historique des entrées de SAP GUI: un cauchemar d'exposition aux données

On another front, vulnerabilities CVE-2025-0055 and CVE-2025-0056 in SAP GUI for Windows and Java expose sensitive information through insecure storage of input history. The SAP GUI input history feature, designed for user convenience, stores previously entered values locally. However, the research discovered that this history is stored insecurely, both in the Java and Windows versions. This can include usernames, national IDs, social security numbers (SSNs), bank account numbers, and internal SAP table names.

Sur un autre front, les vulnérabilités CVE-2025-0055 et CVE-2025-0056 dans SAP GUI pour Windows et Java exposent des informations sensibles grâce à un stockage sans sécurité de l'historique des entrées. La fonction d'historique des entrées SAP GUI, conçue pour la commodité des utilisateurs, stocke les valeurs précédemment entrées localement. Cependant, la recherche a découvert que cette histoire est stockée de manière insérecte, à la fois dans les versions Java et Windows. Cela peut inclure des noms d'utilisateur, des identifiants nationaux, des numéros de sécurité sociale (SSN), des numéros de compte bancaire et des noms de table SAP internes.

The Windows version employs a weak XOR-based encryption scheme easily decoded, while the Java version stores entries unencrypted. An attacker with administrative privileges or access to the victim's user directory can access this data, potentially leading to severe confidentiality breaches. Exfiltration through HID injection attacks or phishing becomes a real threat.

La version Windows utilise un schéma de cryptage basé sur XOR faible facilement décodé, tandis que la version Java stocke les entrées non cryptées. Un attaquant ayant des privilèges administratifs ou un accès au répertoire des utilisateurs de la victime peut accéder à ces données, ce qui entraîne potentiellement de graves violations de confidentialité. L'exfiltration à travers des attaques d'injection HID ou du phishing devient une réelle menace.

Securing Your SAP GUI

Sécuriser votre interface graphique SAP

To mitigate these risks, disabling the input history functionality and deleting existing database or serialized object files from the designated directories is strongly recommended.

Pour atténuer ces risques, la désactivation des fonctionnalités d'historique des entrées et la suppression des fichiers de base de données existants ou des objets sérialisés des répertoires désignés sont fortement recommandés.

Putting It All Together: A Call to Action

Mettre tout cela ensemble: un appel à l'action

These vulnerabilities in Citrix and SAP GUI underscore the need for proactive security measures. Regularly updating systems, promptly applying patches, and implementing recommended mitigations are essential steps in safeguarding against potential exploits.

Ces vulnérabilités dans Citrix et SAP GUI soulignent la nécessité de mesures de sécurité proactives. La mise à jour régulière des systèmes, l'application rapide des correctifs et la mise en œuvre d'atténuations recommandées sont des étapes essentielles dans la sauvegarde des exploits potentiels.

It's a jungle out there in cybersecurity, isn't it? But with vigilance and a proactive approach, you can keep those digital predators at bay. Stay safe, stay updated, and keep those patches rolling!

C'est une jungle là-bas en cybersécurité, n'est-ce pas? Mais avec la vigilance et une approche proactive, vous pouvez tenir ces prédateurs numériques à distance. Restez en sécurité, restez à jour et continuez à rouler ces correctifs!