آکادمی لیان

Citrix Bleed 2؛ بهره‌برداری مهاجمان سایبری زودتر از هشدار رسمی

سجاد تیموری ارسال به ایمیل 13 ساعت پیشآخرین بروزرسانی: تیر ۳۱, ۱۴۰۴
۰ 0 زمان تقریبی مطالعه 4 دقیقه
Citrix Bleed 2؛ بهره‌برداری مهاجمان سایبری زودتر از هشدار رسمی
Citrix Bleed 2؛ بهره‌برداری مهاجمان سایبری زودتر از هشدار رسمی

سوءاستفاده فعال از آسیب‌پذیری بحرانی Citrix NetScaler با شناسه CVE-2025-5777 پیش از انتشار PoC

یک آسیب‌پذیری بحرانی در Citrix NetScaler با شناسه CVE-2025-5777 و عنوان CitrixBleed 2، تقریباً دو هفته پیش از انتشار عمومی کدهای اثبات مفهومی (Proof-of-Concept – PoC) مورد سوءاستفاده فعال مهاجمان قرار گرفته است؛ این در حالی‌ست که شرکت Citrix در آن زمان اعلام کرده بود هیچ شواهدی از حملات در دست نیست.

شرکت امنیتی GreyNoise تأیید کرده که هانی‌پات‌های این شرکت در تاریخ ۲۳ ژوئن ۲۰۲۵، فعالیت‌های مخربی از آدرس‌های IP واقع در چین را ثبت کرده‌اند که بهره‌برداری هدفمند از این آسیب‌پذیری را نشان می‌دهد.

«GreyNoise فعالیت‌های بهره‌برداری فعال از آسیب‌پذیری CVE-2025-5777 (CitrixBleed 2) را مشاهده کرده است؛ این آسیب‌پذیری از نوع memory overread در Citrix NetScaler می‌باشد. بهره‌برداری از آن از تاریخ ۲۳ ژوئن آغاز شده — یعنی تقریباً دو هفته پیش از انتشار عمومی کد PoC در تاریخ ۴ ژوئیه.» — توضیح شرکت GreyNoise

GreyNoise همچنین اعلام کرده که در تاریخ ۷ ژوئیه، یک برچسب (tag) اختصاصی برای رصد این فعالیت‌ها ایجاد کرده و از آنجایی که داده‌های پیش از برچسب‌گذاری نیز به صورت بازگشتی (retroactive) با برچسب‌های جدید مرتبط می‌شوند، تلاش‌های بهره‌برداری پیش از آن تاریخ نیز اکنون در GreyNoise Visualizer قابل مشاهده است.

آکادمی لیان

تأیید بهره‌برداری فعال از CitrixBleed 2 توسط GreyNoise؛ واکنش تأخیری Citrix زیر سوال رفت

شرکت GreyNoise در تاریخ ۹ ژوئیه به آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) اعلام کرد که آسیب‌پذیری CVE-2025-5777 به‌طور فعال مورد سوءاستفاده قرار گرفته است. در پی این گزارش، CISA این نقص را به فهرست Known Exploited Vulnerabilities (KEV) خود اضافه کرد و به نهادهای فدرال تنها یک روز فرصت داد تا اصلاحیه امنیتی را اعمال کنند.

GreyNoise نمونه‌ی exploit استفاده‌شده در حملات ماه ژوئن را در اختیار BleepingComputer قرار داده و این رسانه تأیید کرده است که این اکسپلویت مربوط به آسیب‌پذیری Citrix Bleed 2 است؛ موضوعی که اثبات می‌کند مهاجمان سایبری پیش از انتشار عمومی کدهای PoC در حال بهره‌برداری فعال از این نقص بوده‌اند.

با وجود نشانه‌های اولیه و هشدارهای مکرر از سوی پژوهشگر امنیتی Kevin Beaumont، شرکت Citrix در مشاوره امنیتی مربوط به CVE-2025-5777 هیچ اشاره‌ای به سوءاستفاده‌ی فعال نکرده بود. این شرکت تنها در تاریخ ۱۱ ژوئیه، به‌صورت بی‌سر و صدا پست وبلاگی خود در تاریخ ۲۶ ژوئن را به‌روزرسانی کرد؛ درست یک روز پس از آن‌که این آسیب‌پذیری وارد پایگاه داده KEV شد.

در نهایت، Citrix در تاریخ ۱۵ ژوئیه یک پست وبلاگی جدید منتشر کرد که در آن به روش‌های بررسی شاخص‌های نفوذ (IOCs) در لاگ‌های NetScaler پرداخته بود.

با این حال، این اقدامات دیرهنگام نیز انتقادات جامعه امنیتی را کاهش نداد. بسیاری از پژوهشگران به BleepingComputer اعلام کرده‌اند که شاخص‌های نفوذ (IOCs) پیش‌تر با Citrix به اشتراک گذاشته شده بود، اما این شرکت شفافیت لازم را نداشته و از انتشار عمومی آن‌ها خودداری کرده است.

جزئیات آسیب‌پذیری Citrix Bleed 2

Citrix Bleed 2 یک آسیب‌پذیری بحرانی با شدت ۹.۳ است که به‌دلیل عدم اعتبارسنجی مناسب ورودی‌ها در سیستم‌های Citrix NetScaler به‌وجود آمده است. این نقص به مهاجمان اجازه می‌دهد تا در جریان تلاش برای ورود، درخواست‌های POST مخربی را برای تجهیزات NetScaler ارسال کنند.

بهره‌برداری از این آسیب‌پذیری از طریق حذف علامت مساوی (=) در پارامتر login= صورت می‌گیرد، که باعث می‌شود دستگاه ۱۲۷ بایت از حافظه را نشت دهد. پژوهشگران شرکت‌های Horizon3 و WatchTowr نشان داده‌اند که ارسال مکرر چنین درخواست‌هایی می‌تواند منجر به افشای اطلاعات حساسی مانند توکن‌های نشست معتبر (valid session tokens) شود.

مهاجم می‌تواند با استفاده از این توکن‌ها، نشست‌های Citrix را ربوده و به منابع داخلی بدون مجوز دسترسی پیدا کند.

نشانه‌های بهره‌برداری

پژوهشگر امنیتی Kevin Beaumont پیش‌تر اعلام کرده است که درخواست‌های POST مکرر به مسیر /doAuthentication.do در لاگ‌های NetScaler می‌تواند نشانه‌ای از تلاش برای بهره‌برداری از این نقص باشد، به‌ویژه اگر هدر Content-Length: 5 نیز در آن درخواست‌ها موجود باشد.

نشانه‌های دیگر شامل موارد زیر است:

  • ورودهایی به سیستم که منجر به خروج کاربرانی با نام‌های کاربری غیرعادی مانند کاراکتر “#” می‌شوند
  • چاپ محتوای حافظه در فیلدهای نامرتبط لاگ‌ها

هشدار درباره راهکارهای ناقص Citrix

Beaumont هشدار داده که دستورالعمل‌های Citrix برای پاک‌سازی نشست‌های آلوده ناکافی است. در حالی‌که Citrix توصیه می‌کند نشست‌های ICA و PCoIP با دستورات زیر پایان داده شوند:

kill pcoipConnection -all
kill icaconnection -all
kill rdpConnection -all
kill sshConnection -all
kill telnetConnection -all
kill connConnection -all
kill aaa session -all

Beaumont پیشنهاد کرده که سایر انواع نشست نیز که ممکن است ربوده شده باشند باید به‌صورت دستی خاتمه داده شوند، چرا که امکان سوءاستفاده از نشست‌های باقی‌مانده وجود دارد.

بررسی نشست‌ها، نشانه‌های بهره‌برداری و هشدار درباره ناکارآمدی WAF در شناسایی CitrixBleed 2

مدیران سامانه (Admins) باید پیش از خاتمه دادن به نشست‌ها، تمامی نشست‌های فعال را بررسی کنند تا نشانه‌هایی از ورودهای مشکوک مانند تغییرات غیرمنتظره در آدرس IP یا ورود کاربران غیرمجاز شناسایی شود.

در پست وبلاگی منتشر شده در تاریخ ۱۵ ژوئیه، شرکت Citrix راهنمایی‌هایی در خصوص شناسایی نشانه‌های بهره‌برداری منتشر کرده که شامل بررسی لاگ‌هایی با پیام‌های زیر می‌شود:

  • “Authentication is rejected for”
  • “AAA Message”
  • بایت‌های غیر ASCII در بازه‌ی ۰x80–۰xFF

همچنین، لاگ‌های نشست‌ها می‌توانند به‌صورت دستی بررسی شوند تا تغییرات غیرعادی IP در یک نشست مشخص شناسایی شود. برای مثال، در لاگ‌های VPN، ناسازگاری بین فیلدهای client_ip و source IP address ممکن است نشان‌دهنده‌ی ربوده شدن نشست باشد.

ردگیری حملات از ماه ژوئن؛ بیش از ۱۲۰ شرکت قربانی شده‌اند

Kevin Beaumont در یکی از پست‌های اخیر خود اعلام کرده که از ژوئن ۲۰۲۵ در حال رصد بهره‌برداری از این آسیب‌پذیری بوده است و تا لحظه‌ی نگارش گزارش، بیش از ۱۲۰ شرکت قربانی شده‌اند.

«دسترسی اولیه از ۲۰ ژوئن آغاز شد و از ۲۱ ژوئن به بعد به‌صورت چشم‌گیری افزایش یافت.» — Beaumont

او همچنین اعلام کرده که بر اساس الگوهای مشاهده‌شده، احتمالاً یک گروه خاص تهدید در حال بهره‌برداری از این آسیب‌پذیری است، گرچه ممکن است مهاجمان بیشتری نیز فعال باشند.

«به نظر می‌رسد مهاجمان قربانیان خود را با دقت انتخاب می‌کنند و پیش از حمله، سیستم NetScaler را بررسی می‌کنند تا مطمئن شوند با یک دستگاه واقعی مواجه هستند — برای مثال، هیچ‌یک از هانی‌پات‌های من را هدف قرار ندادند.»

ضعف Citrix WAF در شناسایی بهره‌برداری؛ آمار بالای حملات به بخش مالی

Beaumont همچنین هشدار داده که Web Application Firewall (WAF) داخلی Citrix در حال حاضر قادر به شناسایی بهره‌برداری از آسیب‌پذیری CVE-2025-5777 نیست.

در مقابل، شرکت Imperva گزارش داده که بیش از ۱۱.۵ میلیون تلاش برای بهره‌برداری از این نقص را شناسایی کرده که ۴۰٪ از آن‌ها سازمان‌های فعال در بخش مالی را هدف قرار داده‌اند.

وضعیت اصلاحیه‌ها و الزام به ارتقاء

شرکت Citrix اصلاحیه‌هایی را برای نسخه‌های NetScaler ADC و NetScaler Gateway منتشر کرده و به‌شدت کاربران را به ارتقاء فوری سیستم‌ها ترغیب کرده است.

هیچ راهکار کاهش آسیب (mitigation) جایگزینی برای این آسیب‌پذیری وجود ندارد و کاربرانی که همچنان از نسخه‌های پایان عمر (End-of-Life) مانند ۱۲٫۱ و ۱۳٫۰ استفاده می‌کنند، باید در اسرع وقت به نسخه‌های پشتیبانی‌شده ارتقاء دهند.

 

سجاد تیموری ارسال به ایمیل 13 ساعت پیشآخرین بروزرسانی: تیر ۳۱, ۱۴۰۴
۰ 0 زمان تقریبی مطالعه 4 دقیقه
آکادمی لیان

نوشته های مشابه

پسورد ساده '123456' باعث افشای چت‌های شغلی 64 میلیون نفر در McDonald’s شد

پسورد ساده ‘۱۲۳۴۵۶’ باعث افشای چت‌های شغلی ۶۴ میلیون نفر در McDonald’s شد

6 روز پیش
آسیب‌پذیری بحرانی در Wing FTP Server به هکرها اجازه می‌دهد تا حملات RCE انجام دهند

آسیب‌پذیری بحرانی در Wing FTP Server به هکرها اجازه می‌دهد تا حملات RCE انجام دهند

6 روز پیش
Google Gemini به هکرها اجازه می‌دهد از خلاصه‌های ایمیل برای حملات فیشینگ استفاده کنند

Google Gemini به هکرها اجازه می‌دهد از خلاصه‌های ایمیل برای حملات فیشینگ استفاده کنند

6 روز پیش
حملات UEFI می‌توانند فرآیند Secure Boot را در مادربردهای گیگابایت دور بزنند

حملات UEFI می‌توانند فرآیند Secure Boot را در مادربردهای گیگابایت دور بزنند

1 هفته پیش

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا