En bref

  • Anubis Ransomware-as-a-Service exploite CVE-2025-5777 (CitrixBleed 2) pour voler des sessions Citrix NetScaler sans credentials et contourner le MFA.
  • 91 victimes revendiquées en 19 mois, dont 11 en juin 2026 seul, dans les secteurs santé, industrie, finance et technologie.
  • Patcher immédiatement les appliances Citrix NetScaler ADC et Gateway, puis invalider toutes les sessions actives — le patch seul ne révoque pas les jetons déjà volés.

Anubis contourne le MFA en volant les sessions Citrix avant l'authentification

Les chercheurs d'Arctic Wolf ont publié le 2 juillet 2026 une analyse détaillée de la chaîne d'attaque du groupe Anubis, une opération de Ransomware-as-a-Service (RaaS) qui a revendiqué 91 victimes en moins de dix-neuf mois d'activité. La singularité technique de ce groupe réside dans son exploitation de CVE-2025-5777, surnommée CitrixBleed 2 en référence à une vulnérabilité similaire qui avait déjà frappé Citrix fin 2023, et dans son usage sophistiqué d'outils légitimes de gestion à distance pour masquer ses activités.

CVE-2025-5777 est une vulnérabilité critique de type memory disclosure pré-authentification affectant Citrix NetScaler ADC et Citrix Gateway. Avec un score CVSS de 9.3, elle permet à un attaquant non authentifié d'extraire des jetons de session actifs depuis la mémoire de l'appliance, sans jamais avoir à fournir de mot de passe ou à interagir avec un facteur d'authentification supplémentaire. La condition d'exploitation requiert que l'appliance soit configurée en tant que Gateway (VPN virtuel, ICA Proxy, CVPN, RDP Proxy) ou en tant que serveur virtuel AAA — des configurations particulièrement répandues dans les environnements d'accès distant d'entreprise.

Une fois un jeton de session valide en main, les affiliés Anubis disposent d'un accès authentifié complet à l'infrastructure de la victime, comme si l'utilisateur légitime s'était lui-même connecté. Le MFA (authentification multi-facteurs), qu'il repose sur des codes TOTP, des SMS ou des clés hardware, est intégralement contourné : le jeton volé représente une session déjà authentifiée. C'est précisément le scénario cauchemar pour les équipes de sécurité qui avaient déployé le MFA comme contrôle primaire contre le vol de credentials.

Après l'intrusion initiale, Anubis déploie une palette d'outils de Remote Management and Monitoring (RMM) légitimes pour maintenir son accès et effectuer ses mouvements latéraux. Arctic Wolf a documenté l'usage de ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC et Total Software Deployment. Le choix délibéré de ces outils — présents dans de nombreux environnements IT sous forme légale — vise à confondre les systèmes de détection comportementale qui les classeraient comme activité normale d'administration. Cette technique de « living off the land » est aujourd'hui systématique dans les RaaS modernes.

Les statistiques de victimologie publiées par le groupe sur son site de fuite de données sont éloquentes : 91 victimes revendiquées depuis la création du groupe il y a environ dix-neuf mois. En juin 2026 seul, onze nouvelles organisations ont été ajoutées à la liste — un rythme qui s'accélère. Les secteurs ciblés couvrent la santé, les services aux entreprises, l'industrie manufacturière, la technologie et les services financiers. L'analyse d'Arctic Wolf, relayée par The Hacker News dans un article sur la convergence des techniques ransomware, confirme qu'Anubis n'est pas le seul acteur à exploiter CVE-2025-5777.

Le rapport s'inscrit dans un tableau plus large documentant la convergence de plusieurs groupes ransomware autour de trois vecteurs d'accès initial : CitrixBleed 2, la technique BYOVD (Bring Your Own Vulnerable Driver) pour désactiver les EDR, et les credentials de supply chain récupérés lors d'intrusions dans des fournisseurs de services managés. Anubis représente la variante la plus documentée de ce nouveau pattern d'attaque, mais d'autres groupes non nommés utilisent le même vecteur CVE-2025-5777 selon les chercheurs de The Hacker News.

Citrix a publié des correctifs pour CVE-2025-5777. Les versions affectées incluent NetScaler ADC et Gateway 14.1 avant 14.1-38.53, 13.1 avant 13.1-55.34, et 13.0 avant 13.0-95.23. Les appliances en fin de vie ne recevront pas de patch et doivent être remplacées ou isolées. Comme pour la première CitrixBleed (CVE-2023-4966), le patch seul ne suffit pas : les sessions actives établies avant le patch peuvent être toujours valides et doivent être invalidées manuellement en terminant toutes les sessions en cours sur les appliances patchées.

La nature pré-authentification de CVE-2025-5777 signifie qu'elle est exploitable sans aucune interaction utilisateur et sans nécessiter de credentials préalables. Les organisations dont les appliances NetScaler sont exposées sur Internet — ce qui est le cas par définition pour les usages Gateway — doivent considérer ce vecteur comme une priorité absolue. La fenêtre d'exploitation est active depuis plusieurs mois, ce qui signifie que des organisations patchées tardivement pourraient déjà avoir des sessions volées en circulation sans le savoir.

Le MFA n'est pas une protection suffisante face aux vols de session

L'exploitation de CitrixBleed 2 par Anubis met en évidence une réalité que les équipes de sécurité doivent intégrer dans leur modèle de menace : le MFA protège contre le vol de credentials, pas contre le vol de jetons de session post-authentification. Lorsqu'un attaquant peut extraire un jeton valide directement depuis la mémoire d'un équipement réseau, l'ensemble de la chaîne d'authentification amont devient caduque. C'est le même principe qui avait permis au groupe LAPSUS$ d'abuser des sessions persistantes en 2022, et que l'on retrouve aujourd'hui industrialisé dans les plateformes RaaS.

Cette évolution force les organisations à repenser leur stratégie de défense en profondeur. Le MFA reste indispensable, mais il doit être complété par une validation continue de session (zero trust network access), une détection des anomalies sur les jetons actifs — durée de vie anormalement longue, réutilisation depuis des adresses IP inhabituelles — et une segmentation réseau post-authentification qui limite ce qu'un jeton compromis permet d'atteindre. L'exposition directe d'appliances Citrix Gateway sur Internet, sans aucune couche supplémentaire de type WAF ou reverse proxy filtrant, est un facteur de risque structurel.

Sur le plan réglementaire, les organisations du secteur de la santé touchées par Anubis sont soumises à des obligations de notification strictes en vertu du RGPD en Europe et du HIPAA aux États-Unis. Avec onze victimes en un seul mois de juin, la pression sur les DPO et les RSSI pour maintenir une veille active sur les vulnérabilités critiques des équipements d'accès distant est plus forte que jamais. Les assureurs cyber exigent désormais des preuves de gestion des patches sur les équipements périmètriques comme condition de couverture.

L'usage intensif d'outils RMM légitimes pour la persistance est également un signal important : les outils de monitoring et d'administration à distance représentent un vecteur de détection insuffisamment instrumenté dans de nombreuses organisations. Détecter ScreenConnect ou Zoho Assist installés en dehors des processus IT habituels devrait déclencher une alerte immédiate. Les RSSI doivent s'assurer que leur inventaire d'outils RMM autorisés est à jour et que tout outil non référencé fait l'objet d'une investigation prioritaire.

Ce qu'il faut retenir

  • Patcher immédiatement Citrix NetScaler ADC et Gateway contre CVE-2025-5777, puis invalider toutes les sessions actives — le patch seul ne révoque pas les jetons déjà volés.
  • Le MFA ne protège pas contre le vol de jetons de session pré-authentification : déployer une stratégie zero trust avec validation continue de session est indispensable.
  • Auditer les outils RMM présents dans l'environnement — ScreenConnect, Zoho Assist et consorts installés hors périmètre IT validé sont des indicateurs de compromission potentiels.

Comment savoir si mon Citrix NetScaler est vulnérable à CitrixBleed 2 ?

Vérifiez la version du firmware dans la console d'administration NetScaler sous Dashboard > System Information. Si vous utilisez la branche 14.1 avant 14.1-38.53, la branche 13.1 avant 13.1-55.34, ou la branche 13.0 avant 13.0-95.23, et que votre appliance est configurée en mode Gateway ou AAA virtual server, vous êtes vulnérable. Consultez l'advisory Citrix CTX pour les versions complètes concernées et appliquez le patch en urgence, puis terminez toutes les sessions actives via la commande kill icaconnection all.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact