ثغرة أمنية تم اكتشافها حديثًا في وحدة تحكم توصيل تطبيقات Citrix Netscaler الدائم (ADC) وأجهزة Gateway Netscaler ، تمت مقارنتها مع عيب Citrix النزف في 2023 في شدتهيقول محللون الأمن إن الآن يتعرضون للهجوم من قبل ممثلي التهديد غير المعلن.
تعيين درجة حرجة CVSS من 9.3 ، CVE-2025-5777 من الناحية الفنية ، يقرأ العيوب خارج الحدود الناشئة عن التحقق من صحة المدخلات غير الكافية. يُقال إن الباحث المستقل كيفين بومونت ، الذي يطلق عليه Citrix Please 2 من قبل الباحث المستقل كيفن بومونت Citrix Pleed ، CVE-2023-4966، من خلال أن تأثيره النهائي هو السماح للمهاجم باختطاف جلسات مصادقة وتجاوز المصادقة متعددة العوامل (MFA) عن طريق سرقة رموز جلسة صالحة من ذاكرة جهاز NetScaler.
أثبتت الضعف الأصلي لـ Citrix Please أداة فعالة للغاية للمجرمين على الإنترنت واستغلها بعض من أبرز عصابات الفدية في ذلك الوقت – بما في ذلك lockbit – لذا فإن الرسالة إلى قادة الأمن والمدافعين عند اكتشاف هذا العيب الأخير لا يضيع أي وقت وتصحيح على الفور.
ومع ذلك ، قد يأتي هذا التوجيه بالفعل متأخرًا جدًا بالنسبة لبعض المنظمات ، وفقًا للذكاء الذي يشاركه فريق أبحاث التهديدات ، بدأ ممثلو التهديدات بالفعل في التراكم.
“على الرغم من عدم وجود تقارير عامة عن الاستغلال لهذا الضعف ، فقد لاحظت ReliaQuest مؤشرات على الاستغلال للوصول الأولي ،” قال فريق ReliaQuest. “يقوم ReliaQuest بتقييم الثقة المتوسطة بأن المهاجمين يستغلون بنشاط هذه الثغرة الأمنية للوصول الأولي إلى البيئات المستهدفة.
“توصي Citrix بالتصحيح الأنظمة المتأثرة بأحدث الإصدارات وإنهاء الجلسات النشطة للتخفيف من اختطاف الجلسة ومزيد من المخاطر للاستغلال.”
والجدير بالذكر أن ReliaQuest قال ، لقد جمع المحللون أدلة على جلسات ويب Citrix متعددة من أجهزة NetScaler التي يبدو أن المصادقة قد تم منحها دون معرفة المستخدم – وهو ما يشير إلى أن حدوث ممر MFA المحتمل.
وقد شهدت أيضًا أدلة على إعادة استخدام الجلسات التي تمتد إلى IPs متعددة ، بما في ذلك مجموعات من عناوين IP المتوقعة والمشبوهة ؛ استفسارات بروتوكول الوصول إلى الدليل الخفيف (LDAP) المرتبطة بإعادة إعدادات إعادة التنشيط النشط ؛ والحالات المتعددة التي شوهدت فيها أداة “adexplorer64.exe” في بيئات المستخدم على حد سواء للمجموعات والأذونات على مستوى المجال والتواصل مع وحدات تحكم المجال المتعددة.
أخيرًا ، قال فريق ReliaQuest ، إنهم يراقبون أيضًا عددًا جديرًا بالملاحظة من جلسات Citrix القادمة من عناوين IP التي تستضيف البيانات ، مما يشير إلى الاستخدام المحتمل لخدمات VPN المستهلك.
كل هذه النقاط – وحدها أو مجتمعة – يمكن أن تشير إلى أن ممثل التهديد يعدد بيئة ضحية محتملة ، وينبغي أن يكون المدافعون يبحثون عنهم.
يجب أن يكون مستخدمو NetScaler ADC و Gateway متأكدين من تحديث أحدث الإصدارات لكل استشارية لـ Citrix ، وبعد القيام بذلك ، يوصى أيضًا بتشغيل سلسلة من الأوامر لإنهاء جلسات ICA و PCOIP النشطة.
الكتابة على LinkedInوقال تشارلز كارماكال ، كبير مسؤولي التكنولوجيا في Google Cloud’s Mandiant ، إن هذه النقطة الأخيرة كانت مهمة بشكل خاص للمدافعين لتأخذها في الاعتبار.
وتذكر كيف في ذروة حادثة سيتريكس النزف الأولى ، وجد العديد من الضحايا أنه على الرغم من ترقيع الأسرار ، فقد سُرقت أسرار الجلسة بالفعل ، وبالتالي تمكن المهاجمون من الاحتفاظ بالوصول على الرغم من أن الأجهزة ، إلى جميع النوايا والأغراض ، ثابتة. أدى ذلك إلى عدد أكبر من الحلول الوسط مما قد حدث خلاف ذلك.
