آسیبپذیری تازه در Citrix Bleed به هدف حملات سایبری تبدیل شد.
آسیبپذیری بحرانی در NetScaler ADC و Gateway با عنوان “Citrix Bleed 2” (با شناسه CVE-2025-5777) بهاحتمال زیاد هماکنون در حملات مورد سوءاستفاده قرار گرفته است. این هشدار توسط شرکت امنیت سایبری ReliaQuest صادر شده که افزایش چشمگیری در نشستهای مشکوک روی دستگاههای Citrix را مشاهده کرده است.
آسیبپذیری Citrix Bleed 2، نامگذاریشده توسط پژوهشگر امنیتی Kevin Beaumont بهدلیل شباهت با آسیبپذیری قبلی Citrix Bleed (CVE-2023-4966)، یک نقص خواندن حافظه خارج از محدوده (Out-of-Bounds Memory Read) است که به مهاجمان غیرمعتبر امکان میدهد به بخشهایی از حافظه که معمولاً نباید قابلدسترس باشند، دسترسی پیدا کنند.
این آسیبپذیری میتواند به مهاجمان اجازه دهد توکنهای نشست، اعتبارنامهها و سایر دادههای حساس را از درگاهها و سرورهای مجازی قابلدسترس از اینترنت استخراج کرده و در نتیجه نشستهای کاربران را ربوده و احراز هویت چندمرحلهای (MFA) را دور بزنند.
راهنمای رسمی منتشرشده از سوی Citrix نیز این خطر را تأیید کرده و به کاربران هشدار داده که پس از نصب بهروزرسانیهای امنیتی، تمام نشستهای ICA و PCoIP را خاتمه دهند تا از دسترسی به نشستهای احتمالا ربودهشده جلوگیری شود.
این نقص امنیتی که با شناسه CVE-2025-5777 پیگیری میشود، در تاریخ ۱۷ ژوئن ۲۰۲۵ توسط Citrix وصله شد. با این حال، در آن زمان هیچ گزارشی از سوءاستفاده فعال ثبت نشده بود. اما Kevin Beaumont پیشتر در هفته جاری درباره احتمال بالای بهرهبرداری از این آسیبپذیری هشدار داده بود.
اکنون به نظر میرسد نگرانیهای این پژوهشگر بهجا بوده است، چرا که شرکت ReliaQuest با «اطمینان متوسط» اعلام کرده که این آسیبپذیری هماکنون در حملات هدفمند مورد بهرهبرداری قرار گرفته است.
ReliaQuest هشدار داد:
«اگرچه تاکنون گزارشی از سوءاستفاده عمومی از آسیبپذیری CVE-2025-5777 موسوم به Citrix Bleed 2 منتشر نشده، اما ما با اطمینان متوسط ارزیابی میکنیم که مهاجمان بهطور فعال در حال سوءاستفاده از این نقص برای دستیابی اولیه به محیطهای هدف هستند.»
این ارزیابی بر اساس مشاهدات زیر در حملات واقعی اخیر صورت گرفته است:
- مشاهده نشستهای وب ربودهشده در Citrix که در آن احراز هویت بدون تعامل کاربر انجام شده است، که نشاندهنده عبور مهاجمان از MFA با استفاده از توکنهای نشست سرقتشده میباشد.
- استفاده مکرر از یک نشست Citrix مشابه توسط آدرسهای IP مشروع و مشکوک، که حاکی از ربایش نشست و بازپخش آن از منابع غیرمجاز است.
- ارسال کوئریهای LDAP پس از دسترسی، که نشان میدهد مهاجمان برای شناسایی کاربران، گروهها و سطوح دسترسی، عملیات شناسایی Active Directory انجام دادهاند.
- اجرای چندباره فایل ADExplorer64.exe در سامانههای مختلف، که به فعالیت هماهنگشده برای شناسایی دامنه و تلاش برای اتصال به کنترلرهای دامنه اشاره دارد.
- آغاز نشستهای Citrix از آدرسهای IP دیتاسنترهایی که متعلق به ارائهدهندگان VPN مصرفی مانند DataCamp هستند، که نشاندهنده استفاده مهاجمان از زیرساختهای ناشناس برای اختفای منبع حمله است.
موارد فوق با فعالیتهای پس از نفوذ و دسترسی غیرمجاز به Citrix مطابقت داشته و ارزیابی بهرهبرداری فعال از CVE-2025-5777 را تقویت میکند.
اقدامات پیشگیرانه و توصیهشده:
به کاربران تحت تأثیر توصیه میشود برای برطرفکردن این آسیبپذیری، دستگاههای خود را به نسخههای زیر یا بالاتر بهروزرسانی کنند:
- ۱۴٫۱-۴۳٫۵۶+
- ۱۳٫۱-۵۸٫۳۲+
- ۱۳٫۱-FIPS/NDcPP 13.1-37.235+
پس از نصب جدیدترین نسخه firmware، مدیران سیستم باید تمام نشستهای فعال ICA و PCoIP را خاتمه دهند، زیرا ممکن است پیشتر مورد نفوذ قرار گرفته باشند.
پیش از خاتمه دادن نشستها، ابتدا لازم است مدیران فعالیتهای مشکوک را با استفاده از دستور زیر بررسی کنند:
show icaconnection
و از طریق مسیر گرافیکی:
NetScaler Gateway > PCoIP > Connections
پس از بازبینی نشستها، میتوان آنها را با استفاده از دستورات مشخصشده خاتمه داد.
در صورتی که نصب فوری بهروزرسانیهای امنیتی امکانپذیر نباشد، توصیه میشود دسترسی خارجی به NetScaler از طریق لیستهای کنترل دسترسی شبکه (Network ACLs) یا قوانین فایروال محدود شود.
در پاسخ به پرسش ما درباره فعالبودن سوءاستفاده از آسیبپذیری CVE-2025-5777، شرکت Citrix ما را به پست وبلاگی که روز گذشته منتشر کرده ارجاع داد؛ در این پست آمده است که تاکنون نشانهای از بهرهبرداری مشاهده نشده است.
در این بیانیه آمده است:
«در حال حاضر هیچ مدرکی دال بر بهرهبرداری از CVE-2025-5777 وجود ندارد.»
با این حال، یک آسیبپذیری دیگر از Citrix با شناسه CVE-2025-6543 هماکنون در حملات برای ایجاد شرایط عدم ارائه خدمت (DoS) بر روی دستگاههای NetScaler مورد سوءاستفاده قرار گرفته است.
به گفته Citrix، این دو آسیبپذیری (CVE-2025-5777 و CVE-2025-6543) در یک ماژول قرار دارند، اما باگهای متفاوتی محسوب میشوند.
بهروزرسانی ۲۷ ژوئن ۲۰۲۵: اطلاعات مربوط به پست وبلاگ Citrix افزوده شد.
