CVE-2025-7775

چکیده

یک آسیب‌پذیری بحرانی از نوع سرریز حافظه (Memory Overflow) در NetScaler ADC و NetScaler Gateway شناسایی شده است. این ضعف امکان اجرای کد از راه دور و یا ایجاد شرایط انکار سرویس (DoS) را فراهم می‌کند.

توضیحات

آسیب‌پذیری CVE-2025-7775 در محصولات NetScaler ADC و NetScaler Gateway شرکت Citrix ناشی از ضعف سرریز حافظه (مطابق با CWE-119) است که برای مهاجمان بدون نیاز به احراز هویت، امکان اجرای کد از راه دور (RCE) یا ایجاد شرایط انکار سرویس (DoS) را فراهم می کند. این ضعف عمدتاً در پیکربندی‌های خاص از جمله سرورهای مجازی Gateway مانند VPN، ICA Proxy، CVPN و RDP Proxy، سرورهای مجازی AAA، سرورهای مجازی Load Balancing (LB) با سرویس‌ها یا سرویس‌گروه‌های IPv6 و سرورهای مجازی CR از نوع HDX رخ می‌دهد.

نسخه‌های آسیب‌پذیر شامل 14.1 پیش از 47.48، 13.1 پیش از 59.22، 13.1-FIPS/NDcPP پیش از 37.241  و 12.1-FIPS/NDcPP پیش از 55.330 هستند و نسخه‌های قدیمی‌تر مانند 12.1 و 13.0 که در وضعیت پایان دوره پشتیبانی (EOL) هستند نیز آسیب‌پذیر بوده و دیگر پشتیبانی نمی‌شوند، بنابراین کاربران باید سریعاً به نسخه‌های پشتیبانی‌شده به روزرسانی کنند. این آسیب‌پذیری به‌صورت فعال در حملات روز صفر (Zero-Day) مورد بهره‌برداری قرار گرفته و مهاجمان از آن برای استقرار وب‌شل‌ها و حتی فروش نمونه‌های آسیب‌پذیر NetScaler استفاده کرده‌اند. اگرچه کد اثبات مفهومی (PoC) به‌صورت عمومی منتشر نشده، اما وجود اکسپلویت‌های فعال و ثبت آن در کاتالوگ Known Exploited Vulnerabilities (KEV) توسط CISA اهمیت بالای این آسیب‌پذیری را نشان می‌دهد.

برآوردها حاکی از آن است که بین 14,300 تا 28,200 نمونه NetScaler در معرض اینترنت در زمان افشا آسیب‌پذیر بوده‌اند که ریسک سوءاستفاده گسترده را افزایش می‌دهد. تحلیلگران امنیتی هشدار داده‌اند که این ضعف می‌تواند با دیگر آسیب‌پذیری‌ها مانند CVE-2025-8424 ترکیب شود تا دسترسی عمیق‌تر به سیستم‌های مدیریتی به‌ویژه در حملات هدفمند توسط گروه‌های پیشرفته یا تحت حمایت دولت، فراهم گردد. شرکت Citrix این آسیب‌پذیری را در نسخه‌های جدید پچ کرده و کاربران ملزم به به‌روزرسانی فوری به نسخه‌های پچ‌شده هستند تا ریسک بهره‌برداری موفق به حداقل برسد.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که NetScaler ADC و NetScaler Gateway را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب یا استفاده واقعی آن‌ها نیست.

 نتیجه گیری

با توجه به شدت بحرانی این آسیب‌پذیری و بهره‌برداری فعال از آن در حملات Zero-Day، ضروری است که سازمان‌ها اقدامات فوری برای کاهش ریسک انجام دهند. توصیه‌های کلیدی به شرح زیر است:

• به‌روزرسانی فوری سیستم‌ها: به روزرسانی تمامی نمونه‌های NetScaler ADC و NetScaler Gateway به نسخه‌های پچ‌شده توصیه می شود.
• بازبینی پیکربندی سرورها: اطمینان از اینکه سرورهای مجازی Gateway، AAA، LB و CR تنها به حداقل سرویس‌ها و کاربران مورد نیاز دسترسی دارند و پیکربندی های پیش‌فرض ناامن اصلاح شده‌اند.
• نظارت و لاگ‌گیری پیشرفته: فعال‌سازی لاگ‌گیری دقیق برای شناسایی فعالیت‌های مشکوک، تلاش‌های غیرمجاز برای اجرای کد و تغییرات غیرمعمول در سرورها.
• ایزولاسیون سرویس‌ها: جداسازی سرویس‌های حیاتی و حساس از محیط‌های عمومی یا اینترنت و استفاده از فایروال‌ها و ACL برای محدود کردن دسترسی‌ به رابط های مدیریتی و سرویس‌های حساس.
• بازرسی امنیتی منظم: بررسی و اعتبارسنجی ایمیج‌ها و پیکربندی‌های NetScaler برای شناسایی و حذف وب‌شل‌ها یا تغییرات مخرب احتمالی.
• آموزش و آگاهی تیم‌ها: اطلاع‌رسانی به تیم‌های امنیت، DevOps و مدیریت درباره اهمیت به‌روزرسانی فوری، شناسایی عملکردهای مشکوک و پیروی از سیاست‌های امنیتی سازمان.

اجرای همزمان این اقدامات، ریسک بهره‌برداری موفق از آسیب‌پذیری و گسترش حملات هدفمند را به حداقل رسانده و امنیت زیرساخت‌های حیاتی مبتنی بر NetScaler را به شکل مؤثری تضمین می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

• Initial Access (TA0001)
  T1190 – Exploit Public-Facing Application
  مهاجم می‌تواند با سوءاستفاده از سرریز حافظه در سرویس‌های NetScaler Gateway و ADC که به اینترنت یا شبکه عمومی متصل هستند، بدون نیاز به احراز هویت، به اجرای کد از راه دور دست پیدا کند.
• Execution (TA0002)
  T1059 – Command and Scripting Interpreter
  پس از بهره‌برداری از آسیب‌پذیری، مهاجم می‌تواند کد دلخواه خود را روی سیستم هدف اجرا کند و کنترل کانفیگ‌ها یا سرویس‌ها را به دست گیرد.
• Persistence (TA0003)
  T1543 – Create or Modify System Process
  مهاجم ممکن است فرآیندها یا سرویس‌های NetScaler را تغییر دهد تا دسترسی خود را پایدار نگه دارد، یا وب‌شل‌ها را نصب کند.
• Privilege Escalation (TA0004)
  T1068 – Exploitation for Privilege Escalation
  در صورت ترکیب با دیگر آسیب‌پذیری‌ها مثل CVE-2025-8424 مهاجم می‌تواند دسترسی خود را به سطوح مدیریتی عمیق‌تر افزایش دهد.
• Defense Evasion (TA0005)
  T1562 – Impair Defenses
  مهاجم ممکن است لاگ‌ها و مکانیزم‌های مانیتورینگ را دستکاری کند تا فعالیت‌های مخرب خود را پنهان کند.
• Credential Access (TA0006)
  T1003 – Credential Dumping
  با بهره‌برداری موفق، مهاجم می‌تواند داده‌های حساس و اعتبارنامه‌های ذخیره‌شده روی NetScaler را استخراج کند.
• Impact (TA0040)
  T1499 – Endpoint Denial of Service / T1486 – Data Encrypted for Impact
  مهاجم می‌تواند سرویس‌های NetScaler را متوقف کند، یا داده‌ها و کانفیگ‌ها را دستکاری کرده و عملکرد سرویس‌های شبکه‌ای و VPN را مختل کند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-7775
2. https://www.cvedetails.com/cve/CVE-2025-7775/
3. https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-7775
5. https://vuldb.com/?id.321408
6. https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-7775
7. https://github.com/rxerium/CVE-2025-7775
8. https://github.com/mr-r3b00t/CVE-2025-7775
9. https://github.com/Aaqilyousuf/CVE-2025-7775-vulnerable-lab
10. https://nvd.nist.gov/vuln/detail/CVE-2025-7775
11. https://cwe.mitre.org/data/definitions/119.html