أعلنت شركتا Defused Cyber وwatchTowr عن رصد نشاط استطلاعي مكثف يستهدف ثغرة أمنية حرجة في أنظمة Citrix NetScaler ADC وNetScaler Gateway، تحمل الرمز CVE-2026-3055 وتقييم خطورة 9.3 وفق معيار CVSS. الثغرة ناتجة عن ضعف في التحقق من صحة المدخلات، ما يؤدي إلى تجاوز قراءة الذاكرة (Memory Overread)، وهو ما قد يسمح للمهاجمين بتسريب معلومات حساسة من الأجهزة المستهدفة.
الاستطلاع الميداني وأساليب المهاجمين
وفقًا لـ Defused Cyber، يقوم المهاجمون حاليًا بمحاولات fingerprinting لطرق المصادقة عبر استهداف المسار /cgi/GetAuthMethods في NetScaler، وذلك بغرض تحديد ما إذا كان الجهاز مهيأ كموفر هوية SAML Identity Provider (SAML IDP). هذه الخطوة تعد مؤشرًا على أن المهاجمين يختبرون البيئة قبل الانتقال إلى مرحلة الاستغلال الفعلي. من جانبها، أكدت watchTowr أن شبكاتها التجريبية (honeypots) رصدت نشاطًا مشابهًا، محذرة من أن الاستغلال في البرية قد يحدث في أي وقت.
الإصدارات المتأثرة والضرورة الملحة للتحديث
الثغرة تؤثر على الإصدارات التالية:
- NetScaler ADC/Gateway 14.1 قبل الإصدار 14.1-66.59
- NetScaler ADC/Gateway 13.1 قبل الإصدار 13.1-62.23
- NetScaler ADC 13.1-FIPS و13.1-NDcPP قبل الإصدار 13.1-37.262
وتوصي الشركات الأمنية بضرورة التحديث الفوري لهذه الإصدارات، حيث أن الانتقال من مرحلة الاستطلاع إلى الاستغلال النشط سيقلص بشكل كبير من قدرة المؤسسات على الاستجابة السريعة.
خلفية تاريخية واستمرارية التهديد
من الجدير بالذكر أن أنظمة Citrix NetScaler تعرضت خلال السنوات الأخيرة لسلسلة من الثغرات الخطيرة التي تم استغلالها على نطاق واسع، أبرزها:
- CVE-2023-4966 (Citrix Bleed)
- CVE-2025-5777 (Citrix Bleed 2)
- CVE-2025-6543
- CVE-2025-7775
هذا التاريخ الحافل بالثغرات المستغلة يعزز المخاوف من أن الثغرة الجديدة ليست مسألة “هل ستُستغل؟” بل “متى سيحدث ذلك؟”، وهو ما يجعل سرعة التحديث أمرًا مصيريًا لحماية البنية التحتية الرقمية.
