Citrix, SAP GUI 및 TOKEN 도난 : 최근의 취약점에 대한 깊은 다이빙

Citrix Netscaler 및 SAP GUI의 중요한 취약점을 탐색하여 토큰 도난 및 데이터 노출의 위험을 강조하고 필수 완화 전략을 제공하십시오.

The cybersecurity landscape is ever-evolving, and recent disclosures concerning Citrix and SAP GUI highlight the persistent threats organizations face. With vulnerabilities leading to potential token theft and sensitive data exposure, understanding these issues is crucial. Let's delve into the specifics.

사이버 보안 환경은 계속 진화하고 있으며 Citrix와 SAP GUI에 관한 최근의 공개는 조직이 직면 한 지속적인 위협을 강조합니다. 잠재적 인 토큰 도난과 민감한 데이터 노출로 이어지는 취약점으로 인해 이러한 문제를 이해하는 것이 중요합니다. 세부 사항을 탐구합시다.

Citrix Bleed 2: A New Wave of Token Theft

Citrix Bleed 2 : 새로운 토큰 도난의 물결

A critical-rated security flaw, CVE-2025-5777, in NetScaler ADC and Gateway products (formerly Citrix ADC and Gateway) has emerged, threatening unauthorized access via token theft. Dubbed 'Citrix Bleed 2' due to its similarities to the infamous CVE-2023-4966, this vulnerability stems from insufficient input validation. Attackers can exploit this flaw to grab valid session tokens from memory through malformed requests, effectively bypassing authentication. This is particularly concerning when NetScaler is configured as a Gateway or AAA virtual server.

Netscaler ADC 및 Gateway 제품 (이전 Citrix ADC 및 Gateway)의 CVE-2025-5777 크리티컬 등급 보안 결함이 토큰 도난을 통한 무단 액세스를 위협했습니다. 악명 높은 CVE-2023-4966과 유사하게 'Citrix Bleed 2'라고 불리는이 취약점은 입력 유효성이 부족합니다. 공격자는이 결함을 악용하여 기형 요청을 통해 메모리에서 유효한 세션 토큰을 가져와 인증을 우회 할 수 있습니다. 이는 특히 NetScaler가 게이트웨이 또는 AAA 가상 서버로 구성된 경우에 관한 것입니다.

The urgency is amplified by the fact that while there's no confirmed weaponization yet, experts believe it possesses all the hallmarks of a high-interest target for malicious actors. The initial limitations associated with the vulnerability have also been removed, suggesting a potentially broader impact than initially anticipated.

아직 확인 된 무기화는 없지만 전문가들은 악의적 인 행위자들을위한 높은 이익 목표의 모든 특징을 가지고 있다고 생각합니다. 취약성과 관련된 초기 한계도 제거되어 처음에 예상했던 것보다 잠재적으로 더 넓은 영향을 시사합니다.

Versions at Risk and Mitigation

위험 및 완화 버전

Several NetScaler ADC and Gateway versions are affected, including 14.1 before 14.1-43.56, 13.1 before 13.1-58.32, and various FIPS-compliant versions. Alarmingly, versions 12.1 and 13.0, now End of Life (EOL), remain vulnerable without available patches. Organizations using Secure Private Access on-premises or hybrid deployments with NetScaler instances are urged to upgrade immediately. Post-upgrade, terminating all active ICA and PCoIP sessions is crucial.

14.1-43.56, 13.1-58.32 이전 14.1, 13.1-58.32 이전 14.1 및 다양한 FIPS 호환 버전을 포함하여 여러 NetScaler ADC 및 게이트웨이 버전이 영향을받습니다. 놀랍게도, 12.1 및 13.0, 현재는 수명이 끝났다 (EOL)는 사용 가능한 패치없이 취약한 상태로 남아있다. NetScaler 인스턴스와 함께 보안 개인 액세스 온 프레미스 또는 하이브리드 배포를 사용하는 조직은 즉시 업그레이드해야합니다. 업그레이드 후 모든 활성 ICA 및 PCOIP 세션을 종료하는 것이 중요합니다.

SAP GUI's Input History: A Data Exposure Nightmare

SAP GUI의 입력 기록 : 데이터 노출 악몽

On another front, vulnerabilities CVE-2025-0055 and CVE-2025-0056 in SAP GUI for Windows and Java expose sensitive information through insecure storage of input history. The SAP GUI input history feature, designed for user convenience, stores previously entered values locally. However, the research discovered that this history is stored insecurely, both in the Java and Windows versions. This can include usernames, national IDs, social security numbers (SSNs), bank account numbers, and internal SAP table names.

다른 전선에서는 Windows 용 SAP GUI의 CVE-2025-0055 및 CVE-2025-0056의 취약성 및 Java는 입력 기록의 불안정한 저장을 통해 민감한 정보를 노출시킵니다. 사용자 편의성을 위해 설계된 SAP GUI 입력 기록 기능은 이전에 로컬로 입력 한 저장소입니다. 그러나이 연구는이 역사가 Java와 Windows 버전 모두에 불안하게 저장된다는 것을 발견했습니다. 여기에는 사용자 이름, 국가 ID, 사회 보장 번호 (SSNS), 은행 계좌 번호 및 내부 SAP 테이블 이름이 포함될 수 있습니다.

The Windows version employs a weak XOR-based encryption scheme easily decoded, while the Java version stores entries unencrypted. An attacker with administrative privileges or access to the victim's user directory can access this data, potentially leading to severe confidentiality breaches. Exfiltration through HID injection attacks or phishing becomes a real threat.

Windows 버전은 약한 XOR 기반 암호화 체계를 쉽게 디코딩하는 반면 Java 버전은 암호화되지 않은 항목을 저장합니다. 관리 권한이 있거나 피해자의 사용자 디렉토리에 액세스 할 수있는 공격자는이 데이터에 액세스 할 수있어 잠재적으로 기밀 유지 위반으로 이어질 수 있습니다. HID 주입 공격 또는 피싱을 통한 여과는 실제 위협이됩니다.

Securing Your SAP GUI

SAP GUI 확보

To mitigate these risks, disabling the input history functionality and deleting existing database or serialized object files from the designated directories is strongly recommended.

이러한 위험을 완화하려면 입력 기록 기능을 비활성화하고 지정된 디렉토리에서 기존 데이터베이스 또는 직렬화 된 객체 파일을 삭제하는 것이 좋습니다.

Putting It All Together: A Call to Action

모든 것을 정리하십시오 : 행동 유도 문안

These vulnerabilities in Citrix and SAP GUI underscore the need for proactive security measures. Regularly updating systems, promptly applying patches, and implementing recommended mitigations are essential steps in safeguarding against potential exploits.

Citrix 및 SAP GUI의 이러한 취약점은 사전 보안 조치의 필요성을 강조합니다. 정기적으로 시스템을 업데이트하고, 패치를 즉시 적용하고, 권장 완화를 구현하는 것은 잠재적 악용에 대한 보호의 필수 단계입니다.

It's a jungle out there in cybersecurity, isn't it? But with vigilance and a proactive approach, you can keep those digital predators at bay. Stay safe, stay updated, and keep those patches rolling!

사이버 보안에서 정글입니다. 그러나 경계와 적극적인 접근 방식으로 디지털 포식자를 막을 수 있습니다. 안전을 유지하고 업데이트를 유지하고 패치를 계속 굴리십시오!