المركز الوطني للأمن السيبراني الهولندي يؤكد استغلال ثغرة Citrix NetScaler CVE-2025-6543 في قطاعات حيوية

المركز الوطني للأمن السيبراني الهولندي يؤكد استغلال ثغرة Citrix NetScaler CVE-2025-6543 في قطاعات حيوية
المركز الوطني للأمن السيبراني الهولندي يؤكد استغلال ثغرة Citrix NetScaler CVE-2025-6543 في قطاعات حيوية
شارك هذا الخبر

حذّر المركز الوطني للأمن السيبراني الهولندي (NCSC-NL) من هجمات سيبرانية تستغل ثغرة أمنية حرجة مؤخرًا في منتجات Citrix NetScaler ADC لاختراق منظمات حيوية داخل هولندا.

وأكد المركز أنه اكتشف استغلال الثغرة CVE-2025-6543 لاستهداف عدة مؤسسات مهمة، وأن التحقيقات ما زالت جارية لتحديد حجم التأثير.

تفاصيل الثغرة الأمنية CVE-2025-6543

تحمل الثغرة تصنيف خطورة مرتفع (CVSS 9.2) وتؤثر على أجهزة NetScaler ADC عند إعدادها كبوابة (Gateway) سواء لخدمات VPN virtual server أو ICA Proxy أو CVPN أو RDP Proxy، أو كخادم AAA، مما يؤدي إلى اضطراب تدفق التحكم في النظام وهجمات حجب الخدمة (DoS).
وقد كُشف عنها في أواخر يونيو 2025، وأصدرت Citrix تحديثات لمعالجتها في الإصدارات التالية:

  • NetScaler ADC وNetScaler Gateway 14.1 قبل 14.1-47.46

  • NetScaler ADC وNetScaler Gateway 13.1 قبل 13.1-59.19

  • NetScaler ADC 13.1-FIPS وNDcPP قبل 13.1-37.236-FIPS وNDcPP

وفي 30 يونيو 2025، أُضيفت الثغرة إلى قائمة الثغرات المستغلة فعليًا (KEV) الصادرة عن وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، إلى جانب ثغرة أخرى في المنتج نفسه (CVE-2025-5777) التي أدرجت في الشهر نفسه.

استغلال مبكر وإخفاء آثار الاختراق

أشار NCSC-NL إلى أن نشاط الاستغلال يُرجح أن يكون من تنفيذ جهة تهديد متطورة، حيث تم استغلال الثغرة كـ ثغرة يوم صفر منذ أوائل مايو 2025، أي قبل الكشف العلني عنها بنحو شهرين. واتخذ المهاجمون إجراءات لإخفاء آثارهم، واكتُشف الاستغلال في 16 يوليو 2025.
وخلال التحقيق، عُثر على Web Shells خبيثة داخل أجهزة Citrix، وهي أكواد ضارة تمنح المهاجم وصولًا عن بُعد إلى النظام، ويمكن زرعها عبر استغلال الثغرات.

إجراءات الحماية الموصى بها

يوصي المركز بتحديث الأجهزة فورًا إلى أحدث الإصدارات، وإنهاء جميع الجلسات النشطة والدائمة باستخدام الأوامر التالية:

kill icaconnection -all kill pcoipConnection -all kill aaa session -all kill rdp connection -all clear lb persistentSessions

كما أتاح NCSC-NL سكريبت بحث يمكنه الكشف عن مؤشرات الاختراق المرتبطة باستغلال الثغرة. وأوضح أن وجود ملفات بامتداد .php داخل مجلدات نظام Citrix NetScaler قد يشير إلى استغلال، داعيًا إلى فحص الحسابات التي تم إنشاؤها مؤخرًا، خصوصًا تلك التي تمتلك صلاحيات مرتفعة.

كلمات مفتاحية: Citrix NetScaler، CVE-2025-6543، الأمن السيبراني، NCSC-NL، CISA، ثغرات يوم صفر، Web Shell، هجمات DoS، VPN Gateway، ICA Proxy، CVPN، RDP Proxy، AAA virtual server، اختراق الشبكات، مؤشرات الاختراق

محمد طاهر
محمد طاهر
المقالات: 582

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة