مرکز ملی امنیت سایبری هلند (NCSC) هشدار داده که یک آسیبپذیری بحرانی در Citrix NetScaler با کد CVE-2025-6543 برای نفوذ به سازمانهای حساس در این کشور مورد اکسپلویت قرار گرفته است. این نقص بحرانی یک اشکال سرریز حافظه است که امکان کنترل جریان غیرمجاز یا ایجاد حالت منع سرویس(DoS) در دستگاههای تحت تأثیر را فراهم میکند.
جزئیالت آسیب پذیری در Citrix NetScaler
این آسیبپذیری سرریز حافظه در NetScaler ADC و NetScaler Gateway، هنگامی که بهعنوان گیتوی (سرور مجازی VPN، ICA Proxy، CVPN، RDP Proxy) یا سرور مجازی AAA پیکربندی شده باشند، منجر به کنترل جریان غیرمجاز و منع سرویس میشود.
Citrix در ۲۵ ژوئن ۲۰۲۵ اطلاعیهای درباره این نقص منتشر کرد و هشدار داد که نسخههای زیر در برابر حملات جاری آسیبپذیر هستند:
- نسخه ۱۴.۱ قبل از ۱۴.۱-۴۷.۴۶
- نسخه ۱۳.۱ قبل از ۱۳.۱-۵۹.۱۹
- نسخههای 13.1-FIPS و 13.1-NDcPP قبل از ۱۳.۱-۳۷.۲۳۶
- نسخههای ۱۲.۱ و ۱۳.۰ (پایان عمر اما آسیبپذیر، بدون پچ، توصیه به ارتقا به نسخه جدیدتر)
اگرچه ابتدا تصور میشد این نقص برای حملات منع سرویس (DoS) اکسپلویت شده، هشدار NCSC نشان میدهد که مهاجمان از آن برای اجرای کد از راه دور استفاده کردهاند. NCSC تأیید کرد که هکرها از این آسیبپذیری برای نفوذ به چندین نهاد حساس در هلند سوءاستفاده کرده و سپس ردپای حملات را پاک کردهاند. این مرکز همچنین اعلام کرد که حملات توسط یک یا چند عامل با روشهای پیشرفته انجام شده است. این نقص بهصورت روز صفر اکسپلویت شده و ردپاها حذف شدهاند تا نفوذ در سازمانهای تحت تأثیر پنهان بماند.
اکسپلویت روز صفر CVE-2025-6543
به گفته NCSC، این حملات از اوایل ماه می، تقریبا دو ماه پیش از انتشار اطلاعیه Citrix و ارائه پچها، آغاز شده و برای مدت طولانی بهصورت روز صفر اکسپلویت شدهاند.
اگرچه این آژانس نامی از سازمانهای تحت تأثیر نبرد، Openbaar Ministerie (سرویس دادستانی عمومی هلند) در ۱۸ ژوئیه اعلام کرد که پس از دریافت هشدار NCSC متوجه نفوذ شده است. این سازمان دچار اختلال عملیاتی شدیدی شد و تنها هفته گذشته(7 اوت) توانست بهتدریج فعالیت آنلاین خود را از سر بگیرد و سرورهای ایمیل خود را راهاندازی کند.
توصیههای امنیتی
برای کاهش خطر ناشی از CVE-2025-6543، توصیه میشود سازمانها به نسخههای NetScaler ADC و NetScaler Gateway ۱۴.۱-۴۷.۴۶ و بالاتر، ۱۳.۱-۵۹.۱۹ و بالاتر و ADC 13.1-FIPS و 13.1-NDcPP نسخه ۱۳.۱-۳۷.۲۳۶ و بالاتر ارتقا دهند. پس از نصب بهروزرسانیها، پایان دادن به تمام نشستهای فعال با اجرای دستورات زیر ضروری است:
kill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessions
این توصیههای امنیتی مشابه توصیههای ارائهشده برای نقص Citrix Bleed 2 با کد CVE-2025-5777 است که در حال اکسپلویت بود. مشخص نیست که آیا آن نقص نیز در حملات مورد سوءاستفاده قرار گرفته یا فرآیند بهروزرسانی برای هر دو نقص یکسان است.
NCSC به مدیران سیستم توصیه میکند به دنبال نشانههای نفوذ، مانند تاریخ ایجاد فایل غیرعادی، نامهای فایل تکراری با پسوندهای مختلف و نبود فایلهای PHP در پوشهها باشند. این آژانس همچنین اسکریپتی در GitHub منتشر کرده که میتواند دستگاهها را برای فایلهای غیرعادی PHP و XHTML و سایر شاخصهای نفوذ (IOCs) اسکن کند.
