هشدار امنیتی: اکسپلویتهای فعال برای نقص دوم Citrix Bleed در NetScaler منتشر شد
محققان PoC از اکسپلویت آسیبپذیری بحرانی در Citrix NetScaler با شناسه CVE-2025-5777 و نام CitrixBleed2 را منتشر کردهاند و هشدار دادهاند که این نقص بهراحتی قابل بهرهبرداری بوده و میتواند توکنهای نشست کاربران را سرقت کند.
آسیبپذیری CitrixBleed2 که محصولات Citrix NetScaler ADC و Gateway را تحت تأثیر قرار میدهد، به مهاجمان اجازه میدهد تا تنها با ارسال درخواستهای POST مخرب در هنگام تلاش برای ورود، محتوای حافظه دستگاه را بازیابی کنند.
این نقص بحرانی به دلیل شباهت زیاد به آسیبپذیری CitrixBleed اولیه با شناسه CVE-2023-4966 که در سال ۲۰۲۳ توسط باجافزارها و در حملات علیه نهادهای دولتی مورد سوءاستفاده قرار گرفت، CitrixBleed2 نامگذاری شده است. در آن حملات، مهاجمان نشستهای کاربری را ربوده و به شبکهها نفوذ میکردند.
بر اساس تحلیلهای فنی منتشرشده توسط watchTowr و سپس Horizon3، محققان تأیید کردهاند که این آسیبپذیری از طریق ارسال درخواست ورود (login) نادرست قابل بهرهبرداری است؛ بهطوریکه پارامتر login بدون علامت مساوی یا مقدار ارسال میشود.
این رفتار باعث میشود دستگاه NetScaler محتوای حافظه را تا اولین نویسه null در بخش <InitialValue></InitialValue> پاسخ بازگرداند، همانطور که در نمونههای تحلیلی مشاهده شده است.
علت این آسیبپذیری، استفاده از تابع snprintf همراه با رشته قالب شامل فرمت %.*s است.
در گزارش watchTowr آمده است:
«فرمت %.*s به تابع snprintf میگوید: “تا حداکثر N نویسه را چاپ کن یا در صورت برخورد با نخستین نویسه null (\0) متوقف شو — هرکدام که زودتر اتفاق بیفتد.” این نویسه null بالاخره در حافظه ظاهر میشود، بنابراین نشت دادهها بیپایان نیست، اما در هر فراخوانی، چند بایت از حافظه در پاسخ بازمیگردد.»
گزارش ادامه میدهد:
«بنابراین، هر بار که بدون علامت مساوی (=) به آن endpoint درخواست ارسال کنید، دادههای استک مقداردهینشده بیشتری وارد پاسخ میشود.»
به گفتهی Horizon3، هر درخواست HTTP تقریباً ۱۲۷ بایت از دادههای حافظه را فاش میکند. مهاجمان میتوانند با ارسال درخواستهای مکرر، بخشهای بیشتری از حافظه را استخراج کرده و تا یافتن دادههای حساس مورد نظرشان ادامه دهند.
در حالیکه تلاشهای اولیه watchTowr برای بهرهبرداری موفقیتآمیز نبود، Horizon3 در ویدیویی نشان داده که این نقص بهطور عملی قابل بهرهبرداری است و میتوان از آن برای سرقت توکنهای نشست کاربران استفاده کرد.
Horizon3 همچنین اعلام کرده که این آسیبپذیری، علاوه بر endpointهای NetScaler، علیه ابزارهای پیکربندی مورد استفادهی مدیران نیز قابل بهرهبرداری است.
بهرهبرداری یا خیر؟
Citrix همچنان اعلام میکند که هیچ شواهدی مبنی بر سوءاستفاده فعال از این آسیبپذیری (CVE-2025-5777) وجود ندارد. در پاسخ به پرسش رسانه BleepingComputer، شرکت به یک پست وبلاگی ارجاع داده و اعلام کرده:
«در حال حاضر، هیچ مدرکی دال بر بهرهبرداری از CVE-2025-5777 وجود ندارد.»
با این حال، گزارشی در ماه ژوئن از سوی شرکت امنیتی ReliaQuest حاکی از آن است که احتمال بهرهبرداری از این آسیبپذیری وجود دارد؛ چراکه افزایش موارد ربایش نشستهای کاربری (Session Hijacking) مشاهده شده است.
همچنین پژوهشگر امنیتی Kevin Beaumont ادعای Citrix را زیر سوال برده و اعلام کرده است که این نقص از اواسط ژوئن بهصورت فعال مورد سوءاستفاده قرار گرفته است. مهاجمان از این باگ برای استخراج حافظه و ربودن نشستها استفاده کردهاند.
او شاخصهای زیر را بهعنوان نشانههای بهرهبرداری معرفی کرده است:
- در لاگهای NetScaler، درخواستهای مکرر POST به مسیر doAuthentication که هرکدام ۱۲۶ بایت از RAM را بازمیگردانند
- درخواستهایی به doAuthentication.do با هدر Content-Length: 5
- در لاگهای کاربران NetScaler، خطوطی با عبارت LOGOFF و نام کاربری بهشکل #* (وجود علامت # در فیلد نام کاربری). دادههای حافظه در فیلد نامناسب نمایش مییابند
Beaumont هشدار داده:
«قابل توجه است که فقط بهواسطهی گزارشهای watchTowr و Horizon3 توانستم فعالیتهای بهرهبرداری را شناسایی کنم. پشتیبانی Citrix هیچگونه IOC (شاخصهای نفوذ) ارائه نکرد و بهاشتباه ادعا کرد که بهرهبرداری در سطح عمومی وجود ندارد — مشابه اتفاق قبلی در مورد CitrixBleed. Citrix باید در این زمینه عملکرد بهتری داشته باشد؛ آنها به مشتریان آسیب میزنند.»
Citrix وصلههای امنیتی برای رفع آسیبپذیری CVE-2025-5777 منتشر کرده و به تمامی سازمانها اکیداً توصیه میشود که در اسرع وقت این بهروزرسانیها را اعمال کنند، بهویژه با توجه به در دسترس بودن اکسپلویتهای عمومی.
در کنار اعمال وصله، Citrix توصیه کرده است که تمامی نشستهای فعال ICA و PCoIP خاتمه یابند؛ با این حال، مدیران سیستم ابتدا باید نشستهای موجود را برای هرگونه فعالیت مشکوک بررسی کنند.
