CISA تؤكد استغلال ثغرة Citrix Bleed 2 بنشاط

الصفحة الرئيسيةالأخبار* CISA أضافت ثغرة حرجة في Citrix NetScaler (CVE-2025-5777) إلى قائمة الثغرات المعروفة المستغلة بعد تأكيد الهجمات النشطة.

• الثغرة المعروفة باسم "Citrix Bleed 2" تسمح بتجاوز المصادقة وقراءة الذاكرة بشكل مفرط، مما يؤدي إلى إمكانية تعرض البيانات الحساسة.
• أبلغ الباحثون في مجال الأمن والبائعون عن استمرار استغلال من قبل المهاجمين، على الرغم من أن شركة سيتريكس لم تقم بعد بتحديث إعلاناتها الخاصة.
• يستهدف المهاجمون الأجهزة الشبكية الحيوية، مما يعرض شبكات المؤسسات للخطر، بينما توصي CISA بضرورة التحديث الفوري وإنهاء الجلسات القسرية.
• ثغرات أخرى، مثل CVE-2024-36401 في GeoServer، تُستخدم أيضًا في الهجمات، بما في ذلك نشر برامج تعدين العملات المشفرة. في 10 يوليو 2025، أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة أمنية حرجة تؤثر على Citrix NetScaler ADC و Gateway إلى قائمة الثغرات المعروفة المستغلة (KEV). تؤكد هذه الخطوة أن الثغرة، التي تم تحديدها على أنها CVE-2025-5777، تُستخدم في هجمات إلكترونية نشطة.

• إعلان - CVE-2025-5777، المعروف أيضًا باسم "Citrix Bleed 2"، يحمل درجة CVSS تبلغ 9.3. توجد الثغرة بسبب عدم كفاية التحقق من صحة المدخلات. عند استغلالها، تسمح للمهاجمين بتجاوز المصادقة على الأنظمة التي تم إعدادها كخادم بوابة أو خادم AAA الافتراضي. تتسبب هذه المشكلة في قراءة زائدة للذاكرة، مما قد يكشف عن معلومات حساسة.

ذكر تقرير باحث الأمن كيفن بومون أن الاستغلال بدأ في منتصف يونيو. وورد أن أحد عناوين IP للمهاجمين مرتبط بمجموعة RansomHub للبرمجيات الخبيثة. أظهرت بيانات من GreyNoise وجود 10 عناوين IP خبيثة من دول متعددة، حيث كانت الولايات المتحدة وفرنسا وألمانيا والهند وإيطاليا من بين الأهداف الرئيسية. Citrix لم تؤكد نشاط الاستغلال في إعلاناتها الرسمية اعتبارًا من 26 يونيو 2025.

تعتبر مخاطر الثغرة عالية لأن الأجهزة المتأثرة غالبًا ما تعمل كشبكات افتراضية خاصة (VPN) أو خوادم مصادقة. "يمكن أن تتعرض رموز الجلسة وبيانات حساسة أخرى - مما قد يمكّن الوصول غير المصرح به إلى التطبيقات الداخلية، والشبكات الافتراضية الخاصة، وشبكات مراكز البيانات، والشبكات الداخلية،" وفقًا لشركة أكاماي. يحذر الخبراء من أن المهاجمين قد يحصلون على وصول أوسع إلى الشبكات المؤسسية من خلال استغلال الأجهزة الضعيفة والتوجه إلى أنظمة داخلية أخرى.

توصي CISA جميع المؤسسات بتحديث إصدارات Citrix المرقعة المدرجة في إشعارها بتاريخ 17 يونيو، مثل الإصدار 14.1-43.56 أو أحدث. بعد التصحيح، يجب على المسؤولين إنهاء جميع الجلسات النشطة لإبطال أي رموز مصادقة مسروقة. يجب على فرق الأمان مراجعة السجلات بحثًا عن أنشطة غير عادية على نقاط نهاية المصادقة، حيث يمكن أن تتيح هذه الثغرة سرقة الرموز وإعادة تشغيل الجلسات دون ترك آثار برمجيات خبيثة قياسية.

في حوادث منفصلة، يستغل المهاجمون ثغرة حاسمة في OSGeo GeoServer GeoTools (CVE-2024-36401، درجة CVSS: 9.8) لتثبيت عمالة التعدين NetCat و XMRig في كوريا الجنوبية. بمجرد التثبيت، تستخدم هذه العمالة موارد النظام لتوليد العملة المشفرة، مع تمكين NetCat لمزيد من الإجراءات الضارة أو سرقة البيانات.

المقالات السابقة:

• بيتكوين تصل إلى رقم قياسي قدره 116,000 دولار مع ارتفاع السوق الكريبتو
• تهيمن العملات المستقرة على DeFi، مما يثير تساؤلات حول مخاطر المركزية
• بلازما تحدد موعد بيع الرموز في 17 يوليو قبل إطلاق الشبكة الرئيسية، عملات مستقرة جديدة
• اعتقال أربعة في المملكة المتحدة في هجمات إلكترونية كبيرة على م&س، كوبراتيف، هارودز
• شارب لينك تقترب من تسجيل كأكبر حامل إيثيريوم للشركات

• إعلان -