Một chiến dịch khai thác lỗ hổng nghiêm trọng CVE-2025-5777 (tên gọi CitrixBleed 2) đang diễn ra ở quy mô toàn cầu với hơn 11,5 triệu lượt tấn công chỉ trong vòng chưa đầy một tháng sau khi lỗ hổng được công bố vào tháng 6/2025. Theo các chuyên gia, chiến dịch đã xâm nhập thành công trên 100 tổ chức, chủ yếu thông qua kỹ thuật lựa chọn mục tiêu tinh vi và khả năng duy trì truy cập mà hầu như không bị phát hiện.
Ngành Tài chính là mục tiêu hàng đầu
Theo dữ liệu từ Imperva, gần 40% số cuộc tấn công – tương đương khoảng 4,6 triệu lượt khai thác – nhắm trực tiếp vào các tổ chức trong lĩnh vực tài chính. 60% còn lại lan rộng sang nhiều ngành nghề khác, thể hiện rõ sự kết hợp giữa chiến thuật lựa chọn mục tiêu có chủ đích và khai thác cơ hội.
Chuyên gia bảo mật Kevin Beaumont – người đầu tiên đặt tên “CitrixBleed 2” – cho biết, tin tặc thường kiểm tra kỹ cấu hình NetScaler trước khi tấn công để đảm bảo đó là hạ tầng thực, giúp tránh bẫy honeypot và tăng xác suất thành công.
Dữ liệu từ hệ thống honeypot của GreyNoise cho thấy, các hoạt động khai thác thực tế đã bắt đầu từ ngày 23/6/2025, sớm gần hai tuần so với thời điểm mã khai thác PoC được công bố (ngày 4/7). Điều này đồng nghĩa nhiều tổ chức bị tấn công trước cả khi nhận thức được rủi ro.
Chuyên gia VSEC nhận định “Vấn đề không chỉ nằm ở tốc độ cập nhật bản vá mà còn là việc nhiều tổ chức bỏ sót các bước như xóa session cũ, dẫn đến việc bị tái chiếm quyền dù đã vá lỗ hổng. Đây là lỗ hổng pre-auth và bypass cả MFA, nên nếu chưa có chiến lược giám sát chặt chẽ, tổ chức rất dễ mất quyền kiểm soát mà không hề hay biết.”
Đặc biệt trong bối cảnh nhiều đơn vị trong khối tài chính – ngân hàng và y tếtại Việt Nam vẫn đang triển khai NetScaler mà chưa cập nhật các bản vá kịp thời, hoặc chưa có công cụ phát hiện sớm hành vi khai thác.
Các nguồn tin tình báo xác nhận một nhóm ransomware đã sử dụng CVE-2025-5777 để xâm nhập vào một tổ chức y tế từ tháng 6. Một địa chỉ IP (64.176.50.109) liên quan tới các hoạt động khai thác gần đây đã từng bị CISA gắn với chiến dịch RansomHub.
Quá trình tấn công ghi nhận hành vi thu thập dữ liệu từ phiên Citrix hợp lệ và cài đặt công cụ quản trị hợp pháp – cho phép kẻ tấn công duy trì truy cập lâu dài mà không bị phát hiện bởi hệ thống phòng thủ hiện tại.
Đáng nói hơn, giải pháp tường lửa ứng dụng web (WAF) của chính Citrix không phát hiện được khai thác, trái ngược với tuyên bố từ các hãng khác như Akamai và Imperva, vốn đã triển khai thành công biện pháp ngăn chặn.
GreyNoise ghi nhận 22 địa chỉ IP độc hại đang hoạt động, trong đó nhiều địa chỉ đến từ Trung Quốc, Nga, Hàn Quốc và Mỹ. Một số IP tiêu biểu gồm: 139.162.47.194, 38.180.148.215, 102.129.235.108, 121.237.80.241, và 45.135.232.2. Với việc lỗ hổng có thể bỏ qua xác thực và vượt qua cả xác thực đa yếu tố (MFA), nguy cơ đối với các tổ chức sử dụng Citrix làm hạ tầng truy cập từ xa là cực kỳ lớn.
