Egy kritikus NetScaler sérülékenység kihasználásával a támadók az oktatási, a pénzügyi, a kormányzati, a jogi, a technológiai és a távközlési szektor szervezeteit vették célba. Kevin Beaumont kiberbiztonsági szakértő és a GreyNoise fenyegetésfelderítő cég jelentéseiből kiderült, hogy a sérülékenység kihasználása már jóval azelőtt megkezdődött, hogy a PoC (Proof of Concept) nyilvánosságra került volna. A szakértő, aki a Citrix javításainak kiadása után nem sokkal figyelmeztetett a CVE-2025–5777-hez kapcsolódó kockázatokra CitrixBleed 2-nek nevezte el a sérülékenységet.
A CVE-2025–5777 azonosítón nyomon követett sérülékenységet (CVSS pontszáma: 9,3) nem megfelelő bemeneti validációs mechanizmusként (CWE-125) azonosítják, amely lehetővé teheti a támadók számára, hogy a memóriaterület határain túl férjenek hozzá adatokhoz. A kiberbiztonsági szakértők szemléltették, hogyan lehet a sebezhetőségen keresztül hozzáférni a NetScaler példányokból a session tokenekhez, ami lehetővé teszi a támadók számára a munkamenetek eltérítését és a többfaktoros hitelesítés (MFA) megkerülését.
A Citrix egy frissített blogbejegyzésében megerősítette, hogy csak azok a NetScaler ADC és NetScaler Gateway telepítések sebezhetők, amelyek gateway-ként vagy AAA virtuális szerverként vannak konfigurálva.
A támadások során először a támadók gondosan feltérképezték az áldozatokat, majd adatokat gyűjtöttek a felhasználók Citrix munkameneteiből, végül legitim MSP admin eszközökkel szereztek maguknak tartós perzisztenciát. Legalább egy zsarolóvírus-csoport is kihasználta a sebezhetőséget ahhoz, hogy elsődleges hozzáférést szerezzen. Az Imperva július elejéig közel 12 millió, a CVE-2025–5777-et célzó támadást észlelt, ami Beaumont szerint azt mutatja, hogy „az aktivitás egyértelműen spray and pray jellegű”.
A GreyNoise szerint az elmúlt három hétben legalább 26 rosszindulatú IP-címről indultak kihasználási kísérletek, ezek többsége Kínából, Oroszországból, Dél-Koreából és az Egyesült Államokból származott.A sebezhetőséget június közepén ugyan javították, viszont továbbra is több ezer példány maradt sebezhető. A CISA felvette a CVE-2025–5777 sérülékenységet a KEV katalógusba is.
A Citrix ügyfelek számára a NetScaler ADC-t a következő verziókra javasolt frissíteni: 14.1-43.56, 13.1-58.32, 13.1-FIPS, 13.1-NDcPP 13.1-37.235, és 12.1-FIPS 12.1-55.328, valamint a NetScaler Gateway-t a 14.1-43.56 és 13.1-58.32 verziókra. Emellett minden munkamenetet meg kell szakítani, és a session cookie-kat is törölni kell, hogy a sérülékenységgel összefüggő kockázatok teljes mértékben megszűnjenek.
