Uma campanha coordenada de reconhecimento visando a infraestrutura do Citrix NetScaler foi observada entre 28 de janeiro e 2 de fevereiro, utilizando mais de 63 mil endereços IP distintos. Essa atividade, que gerou 111.834 sessões, focou na identificação de painéis de login e na enumeração de versões do produto, indicando um esforço organizado. Aproximadamente 64% do tráfego proveniente de proxies residenciais, que se apresentavam como endereços de ISPs legítimos, dificultou a filtragem baseada em reputação. Os pesquisadores da GreyNoise identificaram dois indicadores claros de intenção maliciosa: um ataque direcionado à interface de autenticação e outro focado em um arquivo específico do Endpoint Analysis (EPA). A atividade sugere um mapeamento de infraestrutura pré-exploração, com interesse em desenvolver exploits específicos para versões vulneráveis do Citrix ADC. As falhas críticas mais recentes que afetam os produtos Citrix incluem CVE-2025-5777 e CVE-2025-5775. Os especialistas recomendam que administradores de sistemas revisem a necessidade de gateways Citrix expostos à internet e monitorem acessos anômalos.
Fonte: https://www.bleepingcomputer.com/news/security/wave-of-citrix-netscaler-scans-use-thousands-of-residential-proxies/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
03/02/2026 • Risco: ALTO
ATAQUE
Campanha de Reconhecimento Alvo da Infraestrutura Citrix NetScaler
RESUMO EXECUTIVO
A atividade de reconhecimento em produtos Citrix representa um risco significativo, com a possibilidade de exploração de falhas críticas. As CVEs identificadas são relevantes para a segurança das operações e requerem atenção imediata dos CISOs.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras devido a exploração de vulnerabilidades e interrupções operacionais.
Operacional
Possibilidade de exploração de vulnerabilidades críticas em produtos Citrix.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Saúde']
📊 INDICADORES CHAVE
111.834 sessões geradas
Indicador
63.000 IPs distintos utilizados
Contexto BR
79% do tráfego direcionado a honeypots do Citrix Gateway
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e autenticação em gateways Citrix.
2
Restringir o acesso à diretório /epa/scripts/ e desabilitar a divulgação de versões nas respostas HTTP.
3
Monitorar acessos anômalos de ISPs residenciais e padrões de tráfego em endpoints do Citrix.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas infraestruturas, especialmente em relação a produtos Citrix, que são amplamente utilizados e podem ser alvos de exploração.
⚖️ COMPLIANCE
Implicações de compliance com a LGPD em caso de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
