آسیبپذیری بحرانی در NetScaler ADC و Gateway، که با نام آسیبپذیری Citrix Bleed 2 (CVE-2025-5777) شناخته میشود، احتمالا در حملات سایبری مورد سوءاستفاده قرار گرفته است. شرکت امنیتی ReliaQuest گزارش داده است که افزایش نشستهای مشکوک در دستگاههای Citrix مشاهده شده است.
جزئیات آسیبپذیری CVE-2025-5777 (آسیبپذیری Citrix Bleed 2)
Citrix Bleed 2، که توسط پژوهشگر امنیتی کوین بومونت به دلیل شباهت به آسیبپذیری قبلی Citrix Bleed (CVE-2023-4966) نامگذاری شده، یک نقص خواندن حافظه خارج از محدوده است. این نقص به مهاجمان بدون احراز هویت امکان میدهد به بخشهایی از حافظه که معمولا غیرقابلدسترس هستند، دسترسی پیدا کنند. این دسترسی میتواند به سرقت توکنهای نشست، اطلاعات ورود به سیستم و دیگر دادههای حساس از گیتویها و سرورهای مجازی رو به اینترنت منجر شود، که مهاجمان را قادر به ربودن نشستهای کاربران و دور زدن احراز هویت چندمرحلهای (MFA) میکند.
مشاوره Citrix این خطر را تأیید کرده و به کاربران توصیه کرده است پس از نصب بهروزرسانیهای امنیتی، تمام نشستهای ICA و PCoIP را خاتمه دهند تا دسترسی به نشستهای ربودهشده مسدود شود.
آسیبپذیری CVE-2025-5777، در تاریخ ۱۷ ژوئن ۲۰۲۵ بدون گزارش اکسپلویت فعال در آن زمان، توسط Citrix برطرف شد. با این حال، بومونت در 25 ژوئن نسبت به احتمال بالای اکسپلویت هشدار داده بود. ReliaQuest اکنون با اطمینان متوسط اعلام کرده است که این آسیبپذیری در حملات هدفمند مورد استفاده قرار گرفته است.
مشاهدات اخیر از حملات واقعی شامل موارد زیر است:
- نشستهای وب Citrix ربودهشدهای مشاهده شده که بدون تعامل کاربر احراز هویت شدهاند، که نشاندهنده دور زدن MFA با استفاده از توکنهای نشست سرقتشده است.
- مهاجمان از یک نشست Citrix در آدرسهای IP معتبر و مشکوک استفاده کردهاند، که نشاندهنده ربودن و بازپخش نشست از منابع غیرمجاز است.
- کوئری LDAP پس از دسترسی انجام شده، که نشاندهنده شناسایی Active Directory برای نقشهبرداری از کاربران، گروهها و مجوزها است.
- چندین نمونه از اجرای ADExplorer64.exe در سیستمها مشاهده شده، که نشاندهنده شناسایی هماهنگ دامنه و تلاش برای اتصال به کنترلکنندههای دامنه است.
- نشستهای Citrix از آدرسهای IP مراکز داده مرتبط با ارائهدهندگان VPN مصرفی مانند DataCamp آغاز شده، که نشاندهنده مخفیسازی مهاجمان از طریق زیرساختهای ناشناس است.
این مشاهدات با فعالیتهای پس از اکسپلویت پس از دسترسی غیرمجاز به Citrix همخوانی دارد و ارزیابی سوءاستفاده از CVE-2025-5777 در دنیای واقعی را تقویت میکند.
توصیههای امنیتی
برای محافظت در برابر این فعالیت، کاربران متأثر باید به نسخههای 14.1-43.56+، 13.1-58.32+، یا 13.1-FIPS/NDcPP 13.1-37.235+ ارتقا دهند تا آسیبپذیری برطرف شود. پس از نصب جدیدترین فریمور، مدیران باید تمام نشستهای فعال ICA و PCoIP را خاتمه دهند، زیرا ممکن است قبلا ربوده شده باشند.
قبل از خاتمه نشستها، مدیران باید با استفاده از دستور show icaconnection و بخش NetScaler Gateway > PCoIP > Connections، نشستهای فعال را برای فعالیتهای مشکوک بررسی کنند. پس از بررسی، نشستها با دستورات زیر قابل خاتمه هستند:
kill icaconnection -all
kill pcoipconnection -all
در صورت عدم امکان نصب فوری بهروزرسانیهای امنیتی، توصیه میشود دسترسی خارجی به NetScaler از طریق قوانین فایروال یا لیستهای کنترل دسترسی شبکه (ACL) محدود شود.
Citrix در پاسخ به پرسوجوها اعلام کرده که در حال حاضر هیچ شواهدی از سوءاستفاده از CVE-2025-5777 وجود ندارد. با این حال، آسیبپذیری دیگری با شناسه CVE-2025-6543 در حال اکسپلویت است که باعث شرایط انکار سرویس در دستگاههای NetScaler میشود. Citrix اعلام کرده که این دو نقص در یک ماژول هستند اما اشکالات متفاوتی دارند.
