استغلال ثغرة Citrix Bleed 2 قبل نشر PoCs رغم نفي Citrix

تاريخ النشر: منذ 4 أشهر آخر تحديث: منذ يوم 55 مشاهدة 0 تعليق 2 دقائق قراءة

في تطور خطير في عالم الأمن السيبراني، تم استغلال ثغرة حرجة في Citrix NetScaler، المعروفة باسم Citrix Bleed 2، قبل أسبوعين تقريبًا من نشر إثباتات المفهوم (PoC)، على الرغم من نفي Citrix وجود أي هجمات.

أكدت GreyNoise أن أنظمة الحماية لديها رصدت استغلالًا مستهدفًا من عناوين IP تقع في الصين في 23 يونيو 2025.

قالت GreyNoise: "لقد لاحظنا محاولات استغلال نشطة ضد CVE-2025-5777 (Citrix Bleed 2)، وهي ثغرة في قراءة الذاكرة. بدأ الاستغلال في 23 يونيو، أي قبل أسبوعين تقريبًا من إصدار إثبات المفهوم للجمهور في 4 يوليو."

أضافت GreyNoise أنها أنشأت علامة في 7 يوليو لتتبع هذا النشاط، مما جعل محاولات الاستغلال السابقة مرئية في أداة GreyNoise Visualizer.

GreyNoise graph showing unique IPs targeting Citrix Bleed 2

رسم بياني من GreyNoise يظهر IPs فريدة تستهدف Citrix Bleed 2
المصدر: BleepingComputer

أكدت GreyNoise لوكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) في 9 يوليو أن الثغرة كانت مستغلة بنشاط، مما دفع الوكالة لإضافتها إلى كتالوج الثغرات المعروفة المستغلة (KEV) ومنحت الوكالات الفيدرالية يومًا واحدًا لتصحيح الثغرة.

شاركت GreyNoise الاستغلال المستخدم في الهجمات التي وقعت في يونيو مع BleepingComputer، ويمكننا التأكيد أنه هو نفسه الخاص بـ Citrix Bleed 2، مما يدل على أن المهاجمين كانوا يستغلونها قبل إصدار PoCs.

على الرغم من هذه العلامات المبكرة والتحذيرات المتكررة من الباحث الأمني كيفن بومونت، لم تعترف Citrix بعد بالاستغلال النشط في إشعارها الأمني لـ CVE-2025-5777. قامت فقط بتحديث منشورها في 26 يونيو بهدوء في 11 يوليو، بعد أن ظهر في قاعدة بيانات KEV في اليوم السابق.

ثغرة Citrix Bleed 2

تعتبر Citrix Bleed 2 ثغرة حرجة تبلغ شدة 9.3، ناتجة عن عدم كفاية التحقق من المدخلات، مما يسمح للمهاجمين بإرسال طلبات POST غير صحيحة إلى أجهزة NetScaler خلال محاولات تسجيل الدخول.

يتم استغلال ذلك عن طريق حذف علامة المساواة في معلمة "login="، مما يؤدي إلى تسرب 127 بايت من الذاكرة. أظهر الباحثون من Horizon3 وWatchTowr أن الطلبات المتكررة يمكن استخدامها لكشف بيانات حساسة مثل رموز الجلسات الصالحة.

يمكن استخدام هذه الرموز بعد ذلك لاختراق جلسات Citrix والوصول غير المصرح به إلى الموارد الداخلية.

يجب على المسؤولين أيضًا مراجعة جميع الجلسات قبل إنهائها للتحقق من تسجيلات الدخول المشبوهة، مثل تغييرات عنوان IP غير المتوقعة أو المستخدمين غير المصرح لهم.

مقالات ذات صلة

الأمن السيبراني
اختراق Telnyx PyPI: برمجيات خبيثة مخفية بملفات WAV

منذ شهر 0

الأمن السيبراني
آلاف المواقع تُسرب مفاتيح API حساسة: مخاطر أمنية جسيمة

منذ شهر 0

الأمن السيبراني
تحذير CISA: استغلال خطير في Langflow يهدد تدفقات الذكاء الاصطناعي

منذ شهر 0

الأمن السيبراني
Torg Grabber: برنامج خبيث جديد يستهدف مئات محافظ العملات المشفرة

منذ شهر 0

الأمن السيبراني
احتيال Bubble: منصة AI تُستغل لسرقة بيانات Microsoft

منذ شهر 0

الأمن السيبراني
IRONSCALES: حماية بريد إلكتروني استباقية بتقنيات الذكاء الاصطناعي

منذ شهرين 0

الخلاصة

تظل Citrix تحت الضغط لعدم كونها شفافة ومشاركة مؤشرات الاختراق التي أخبرها الباحثون أنها كانت قد تم مشاركتها مسبقًا مع الشركة.

ثغرة Citrix Bleed 2

اختراق Telnyx PyPI: برمجيات خبيثة مخفية بملفات WAV

آلاف المواقع تُسرب مفاتيح API حساسة: مخاطر أمنية جسيمة

تحذير CISA: استغلال خطير في Langflow يهدد تدفقات الذكاء الاصطناعي

Torg Grabber: برنامج خبيث جديد يستهدف مئات محافظ العملات المشفرة

احتيال Bubble: منصة AI تُستغل لسرقة بيانات Microsoft

IRONSCALES: حماية بريد إلكتروني استباقية بتقنيات الذكاء الاصطناعي

الخلاصة

الأمن السيبراني

اختراق Telnyx PyPI: برمجيات خبيثة مخفية بملفات WAV

آلاف المواقع تُسرب مفاتيح API حساسة: مخاطر أمنية جسيمة

تحذير CISA: استغلال خطير في Langflow يهدد تدفقات الذكاء الاصطناعي

Torg Grabber: برنامج خبيث جديد يستهدف مئات محافظ العملات المشفرة

احتيال Bubble: منصة AI تُستغل لسرقة بيانات Microsoft

IRONSCALES: حماية بريد إلكتروني استباقية بتقنيات الذكاء الاصطناعي

شارك هذا المقال

التعليقات 0

صفحات الموقع

مركز المساعدة

سياسة الخصوصية

شروط الاستخدام

من نحن

تواصل معنا