أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) عن إدراج الثغرة الأمنية CVE-2025-5777 في كتالوج الثغرات المعروفة بأنها مستغلة (KEV)، مؤكدة أن الهجمات النشطة بدأت بالفعل ضد المؤسسات باستخدام أجهزة Citrix NetScaler ADC وGateway. الثغرة المصنفة بدرجة خطورة 9.3 على مقياس CVSS تتيح تجاوز المصادقة عندما يكون الجهاز مهيأ كبوابة VPN أو خادم AAA.
استغلال فعلي رغم إنكار رسمي وتحذيرات من تسريبات حساسة
على الرغم من تصريح Citrix بعدم وجود دليل على استغلال الثغرة حتى 26 يونيو، أفاد الباحث الأمني كيفن بومونت أن عمليات الاستغلال بدأت منذ منتصف يونيو، مشيرًا إلى أن إحدى عناوين IP المرتبطة بالهجمات كانت متورطة سابقًا في أنشطة فدية تنتمي إلى مجموعة RansomHub. وتشير بيانات GreyNoise إلى أن محاولات الاستغلال انطلقت من 10 عناوين IP خبيثة في دول منها مصر، الصين، وبلغاريا، واستهدفت مؤسسات في الولايات المتحدة، فرنسا، ألمانيا، الهند، وإيطاليا.
المخاطر الأمنية وطرق التسلل عبر الجلسات والتسرب من الذاكرة
أوضحت Akamai أن الثغرة تُسمى “Citrix Bleed” نظرًا لقدرتها على تسريب كتل من ذاكرة النظام عند إرسال نفس الحمولة عدة مرات. وتكمن الخطورة في أن الأجهزة المتأثرة غالبًا ما تعمل كبوابات دخول رئيسية للشبكات الداخلية، ما يجعلها أهدافًا مثالية لسرقة رموز الجلسات والبيانات الحساسة، ثم استخدامها للوصول إلى تطبيقات داخلية أو لوحات تحكم إدارية حساسة.
التحديثات الأمنية والإجراءات الوقائية الموصى بها
دعت CISA المؤسسات إلى تحديث أجهزتها إلى الإصدار 14.1-43.56 أو الأحدث، مع إنهاء جميع الجلسات النشطة فورًا، خاصة تلك التي تم التحقق منها عبر AAA أو Gateway، لمنع إعادة استخدام رموز الجلسات المخترقة. كما نُصح مسؤولو الأنظمة بفحص السجلات مثل ns.log لرصد أي طلبات مريبة مرتبطة بنقاط المصادقة، علمًا بأن الثغرة لا تترك آثارًا تقليدية للبرمجيات الخبيثة.
