في 17 يونيو 2025، تم الكشف عن اثنتين من نقاط الضعف الحرجة – CVE-2025-5349 وCVE-2025-5777 – في Citrix Netscaler ADC وNetscaler Gateway، مما يتيح الوصول غير المصرح به إلى الموارد الحساسة وتجاوز الذاكرة في تكوينات محددة. نظرًا لوجود بعض أوجه التشابه بين CVE-2025-5777 وCVE-2023-4966 (المعروف أيضًا باسم “CitrixBleed”)، فقد أُطلق على هذه الثغرة الأمنية في بعض المنشورات لقب “CitrixBleed 2”.
في 25 يونيو 2025، تم الكشف أيضًا عن ثغرة أمنية ثالثة خطيرة في RCE – CVE-2025-6543. يؤثر هذا الخلل على نفس المنتجات المذكورة أعلاه، مع ملاحظة البائع أنه تم استغلاله في البرية لمدة 0 يوم. يُنصح العملاء بشدة بالتحديث إلى أحدث الإصدارات الثابتة للتخفيف من هذه المخاطر.
CVE-2025-5777: القراءة الزائدة للذاكرة عبر طلبات HTTP المصاغة (CVSS 9.3)
ينشأ CVE-2025-5777 من عدم كفاية التحقق من صحة الإدخال، مما يؤدي إلى تجاوز الذاكرة. بينما تم وصفها في البداية بأنها تؤثر فقط على واجهة إدارة NetScaler، أكدت Citrix لاحقًا أن الثغرة الأمنية تؤثر أيضًا على الأنظمة التي تم تكوينها كبوابات أو خوادم افتراضية AAA – وهو نشر مؤسسي مشترك للوصول عن بعد لـ Citrix وRDP. من خلال إرسال طلب HTTP معد، يمكن لمهاجم بعيد غير مصادق عليه تسريب محتويات الذاكرة الحساسة، بما في ذلك الرموز المميزة للجلسة، وبيانات اعتماد المستخدم، وغيرها من العناصر السرية. تشبه مشكلة عدم الحصانة هذه CVE-2023-4966 (CitrixBleed)، حيث تم استخدام الرموز المميزة للجلسة المسربة لاختطاف الجلسات البعيدة النشطة.
CVE-2025-5349: تحكم غير صحيح في الوصول إلى واجهة الإدارة (CVSS 8.7)
CVE-2025-5349 هي ثغرة أمنية غير مناسبة للتحكم في الوصول وتؤثر على واجهة إدارة NetScaler. يتطلب الاستغلال الوصول إلى الشبكة إلى واجهات محددة مثل NSIP (NetScaler IP)، أو Cluster Management IP، أو IP موقع GSLB المحلي. إذا تم استغلالها بنجاح، فقد يحصل المهاجمون على وصول غير مصرح به إلى وظائف الإدارة الحساسة، مما قد يعرض التحكم الإداري على الأجهزة المتضررة للخطر.
CVE-2025-6543: تجاوز سعة الذاكرة (CVSSv4 9.2)
CVE-2025-6543 هي ثغرة أمنية خطيرة تتعلق بتجاوز سعة الذاكرة وتؤثر على NetScaler ADC وNetScaler Gateway. على الرغم من وصف الخلل على أنه تمكين لهجمات رفض الخدمة، إلا أنه من المحتمل أن يسمح بتنفيذ تعليمات برمجية عن بعد غير مصادق عليها بناءً على درجة CVSS الخاصة به، مما يشير إلى أن الثغرة الأمنية تؤثر بشدة على السرية والنزاهة والتوافر. تم تأكيد CVE-2025-6543 بواسطة Citrix على أنه تم استغلاله في البرية قبل 0 يوم من الكشف العام.
يؤثر CVE-2025-6543 على الأنظمة التي تم تكوينها كبوابات أو خوادم ظاهرية AAA، ولا يرتبط مباشرة بـ CVE-2025-5777 أو CVE-2023-4966.
وفقًا لبيانات Wiz، فإن 3.5% من البيئات السحابية لديها موارد معرضة لهذه الثغرات الأمنية.
أبلغت ReliaQuest عن ملاحظة أدلة محتملة على الاستغلال في نطاق CVE-2025-5777، وتم نشر إثبات لمفهوم الثغرة الأمنية في 3 يوليو 2025. ومنذ ذلك الحين تم اختبار هذا بنجاح من قبل فرق الأمن ضد المنظمات الضعيفة، مما يشير إلى أنه من المحتمل الآن أن تقوم الجهات الفاعلة في مجال التهديد بإدراجها في مجموعات أدواتها أيضًا.
ذكرت Citrix أن CVE-2025-6543 تم استغلاله في البرية باعتباره 0 يوم، لكنها لم تعلن عن مزيد من التفاصيل. نصحت Citrix العملاء المهتمين بالبحث عن مؤشرات التسوية بطلب هذه المعلومات من دعم عملاء Citrix.
المنتجات التالية معرضة لـ CVE-2025-5349 وCVE-2025-5777 وCVE-2025-6543:
-
NetScaler ADC والبوابة في الإصدارات من
14.1ل14.1-43.56 -
NetScaler ADC والبوابة في الإصدارات من
13.1ل13.1-58.32 -
NetScaler ADC في الإصدارات من
13.1-FIPS/NDcPPل13.1-37.235-FIPS/NDcPP -
NetScaler ADC في الإصدارات من
12.1-FIPSل12.1-55.328-FIPS
ملاحظة: الإصدارات 12.1 و 13.0 هي EOL وتظل عرضة للخطر بدون تحديثات.
-
يوصى بالترقية إلى الإصدار المصحح في أقرب وقت ممكن. تتوفر التصحيحات للإصدارات المدعومة (
13.1و14.1)، في حين أن الإصدارات المنتهية الصلاحية (12.1و13.0) تبقى دون تصحيح. يتم حث المؤسسات التي تستخدم إصدارات EOL المتأثرة على الترقية فورًا إلى الإصدارات المدعومة. -
بعد الترقية، قم بإنهاء جميع جلسات ICA وPCoIP النشطة باستخدام الأوامر التالية:
kill icaconnection -all
kill pcoipConnection -all
-
نشر Kevin Beaumont قائمة بعناوين IP والنطاقات التي تم تحديدها على أنها تستضيف المنتجات المتأثرة – ويمكن لفرق الأمان التحقق مما إذا كانت أجهزة مؤسساتهم مدرجة على أنها معرضة للتهديد CVE-2025-5777.
-
استنادًا إلى أبحاثهم الخاصة حول CVE-2025-5777، أوصت Horizon3 بالتحقق من الإدخالات في ns.log التي تتضمن أحرفًا غير قابلة للطباعة، والتي قد تشير إلى استغلال ناجح لهذه الثغرة الأمنية.
-
نظرًا لاحتمال سرقة بيانات الاعتماد عبر CVE-2025-5777، فمن المستحسن تدوير جميع كلمات المرور التي يحتمل أن تكون مكشوفة.
يمكن لعملاء Wiz استخدام الاستعلام والاستشارات المعدة مسبقًا في Wiz Threat Center للبحث عن المثيلات الضعيفة في بيئتهم:
