CVE-2025-7776

چکیده

آسیب‌پذیری در NetScaler ADC و NetScaler Gateway به‌دلیل بروز سرریز حافظه (Memory Overflow) هنگام پردازش پروفایل PCoIP ایجاد می‌شود. مهاجم بدون نیاز به احراز هویت می‌تواند از راه دور با ارسال ترافیک مخرب به Gateway شامل VPN virtual server، ICA Proxy، CVPN یا RDP Proxy که پروفایل PCoIP به آن متصل است، موجب عملکرد غیرقابل‌پیش‌بینی، خطا و در نهایت انکار سرویس (DoS) شود.

توضیحات

آسیب‌پذیری CVE-2025-7776 در NetScaler ADC و NetScaler Gateway به‌دلیل محدودیت نادرست عملیات در محدوده بافر حافظه مطابق با CWE‑119 ایجاد می‌شود. این ضعف تنها زمانی قابل بهره‌برداری است که دستگاه به‌عنوان Gateway (شامل VPN virtual server، ICA Proxy، CVPN یا RDP Proxy) پیکربندی شده باشد و یک پروفایل PCoIP (PC-over-IP؛ پروتکل انتقال دسکتاپ از راه دور توسعه‌یافته توسط Teradici/HP برای انتقال تصویر با کمترین تأخیر و پهنای باند بهینه) به آن متصل شده باشد.

در این حالت، هنگام پردازش بسته‌های ورودی مربوط به PCoIP، به‌دلیل عدم بررسی دقیق اندازه بافر یا تخصیص نامناسب حافظه، سرریز حافظه (Memory Overflow) رخ می‌دهد. این سرریز می‌تواند منجر به عملکردهای غیرقابل‌پیش‌بینی شامل کرش، اجرای نادرست عملیات داخلی، اختلال در جریان پردازش بسته‌ها یا بی‌ثباتی کامل سرویس شود. در سناریوهای خاص، دستگاه کاملاً از دسترس خارج شده و کاربران اتصال به VPN، دسکتاپ مجازی یا برنامه‌های منتشرشده را از دست می‌دهند.

بهره‌برداری از این ضعف نیازی به احراز هویت ندارد و مهاجم می‌تواند به‌صورت از راه دور و بدون تعامل کاربر، با ارسال بسته‌های PCoIP دستکاری‌شده به آدرس عمومی NetScaler (NSIP یا VIP)، این سرریز را ایجاد کند. به‌دلیل ماهیت ساده الگوی حمله، این فرآیند از طریق اسکریپت‌ها و ابزارهای تست نفوذ به‌سادگی قابل خودکارسازی است.

پیامدهای این آسیب‌پذیری شامل تأثیر محدود بر محرمانگی و یکپارچگی و تأثیر شدید بر دسترس‌پذیری است؛ به‌گونه‌ای که می‌تواند باعث اختلال کامل سرویس Gateway، قطع نشست‌های VPN و ICA/HDX و در بسیاری از موارد نیاز به راه‌اندازی مجدد دستی دستگاه شود. این آسیب‌پذیری در آگوست 2025 به‌طور کامل پچ شده و رفع آن تنها از طریق به‌روزرسانی به نسخه‌های امن امکان‌پذیر است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که NetScaler ADC و NetScaler Gateway را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در NetScaler ADC و NetScaler Gateway می‌تواند در استقرارهایی که از پروفایل PCoIP استفاده می‌کنند، منجر به انکار سرویس (DoS) شود و دسترسی کاربران به VPN و دسکتاپ‌های مجازی را مختل کند. با توجه به انتشار پچ‌های امنیتی توسط Citrix، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری ضروری است:

• به‌روزرسانی فوری: تمام دستگاه‌های NetScaler ADC و NetScaler Gateway باید به نسخه‌های امن 14.1‑48 ، 13.1‑59.22، 13.1‑FIPS / NDcPP 13.1‑37.241 ، 12.1‑FIPS / NDcPP 12.1‑55.330 یا بالاتر به‌روزرسانی شوند. توجه داشته باشید که نسخه‌های 12.1 و 13.0 به پایان عمر پشتیبانی (EOL) رسیده‌اند و استفاده از شاخه‌های پشتیبانی‌شده الزامی است. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• بررسی پیکربندی: برای جلوگیری از آسیب پذیری، پروفایل‌های PCoIP را در صورت عدم نیاز غیرفعال یا از VPN vServer جدا (unbind) کنید.
• محدودسازی دسترسی شبکه: دسترسی به پورت‌های PCoIP و Gateway را محدود به IPهای مجاز کنید تا امکان بهره‌برداری کاهش یابد.
• فعال‌سازی فایروال و محدودسازی ترافیک: از فایروال و سیاست‌های لیست کنترل دسترسی (ACL) برای محدودسازی یا مسدودسازی ترافیک مشکوک استفاده کنید.
• نظارت و ثبت لاگ‌ها: فعالیت‌های Gateway و بسته‌های PCoIP را نظارت کرده و لاگ‌ها را برای شناسایی عمکردهای غیرعادی تحلیل کنید.
• ارزیابی و تست امنیتی: از ابزارهای اسکن و تست نفوذ برای شناسایی ضعف‌های احتمالی و ارزیابی میزان مقاومت در برابر DoS استفاده کنید.

اجرای سریع به‌روزرسانی و محدودسازی دسترسی، ریسک ناشی از این آسیب پذیرری را به حداقل رسانده و در دسترس‌پذیری سرویس‌های حیاتی سازمانی را تضمین می کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

مهاجم از طریق ارسال ترافیک PCoIP دست‌کاری‌شده به Gateway وارد سطح پردازشی NetScaler می‌شود؛ این ورودی آلوده معمولاً بدون نیاز به احراز هویت کامل و در لایه ترانسپورت تونل‌شده عبور می‌کند. نقطه ورود همان بسته‌های Session-init یا Display-stream هستند که کنترل طول/ساختارشان ضعیف بررسی شده و باعث ورود داده خطرناک به مسیر دی‌کُدینگ می‌شود.

Defense Evasion (TA0005)

Payload به‌صورت ترافیک PCoIP عادی تونل می‌شود و در ظاهر چیزی خارج از الگوی معمول Remote Desktop نیست؛ در نتیجه مکانیزم‌های لاگینگ یا IDS ممکن است آن را نادیده بگیرند.

Impact (TA0040)

تخریب حافظه در مسیر PCoIP باعث RCE و در نهایت کنترل کامل بر مسیر Gateway می‌شود؛ یعنی مهاجم می‌تواند کل جریان ریموت‌دسکتاپ، نشست‌های کاربران، ترافیک تونل‌شده و حتی اعتبارنامه‌ها را در اختیار بگیرد. نتیجه عملی میتواند Account Takeover، Session Hijacking، دسترسی به سرورهای VDI و در موارد شدید، compromise کامل شبکه باشد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-7776
2. https://www.cvedetails.com/cve/CVE-2025-7776/
3. https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-7776
5. https://vuldb.com/?id.321410
6. https://nvd.nist.gov/vuln/detail/CVE-2025-7776
7. https://cwe.mitre.org/data/definitions/119.html