استغلالات عامة تم إصدارها لثغرة CitrixBleed2 في NetScaler، قم بتحديث الآن

في تطور خطير، أصدرت الأبحاث استغلالات إثبات المفهوم (PoC) لثغرة حرجة في Citrix NetScaler، والتي تم تتبعها تحت الرقم CVE-2025-5777 والمعروفة باسم CitrixBleed2. تحذر الأبحاث من أن هذه الثغرة سهلة الاستغلال ويمكن أن تؤدي إلى سرقة رموز جلسات المستخدمين.

تؤثر ثغرة CitrixBleed2 على أجهزة Citrix NetScaler ADC وGateway، مما يسمح للمهاجمين باسترجاع محتويات الذاكرة ببساطة عن طريق إرسال طلبات POST مشوهة أثناء محاولات تسجيل الدخول.

تُعتبر هذه الثغرة الحرجة مشابهة لثغرة CitrixBleed الأصلية (CVE-2023-4966) التي تم استغلالها من قبل عصابات الفدية وفي هجمات على الحكومات للاستيلاء على جلسات المستخدمين واختراق الشبكات.

في تحليلات تقنية تم إصدارها أولاً بواسطة watchTowr ثم Horizon3، أكد الباحثون أن الثغرة يمكن استغلالها من خلال إرسال طلب تسجيل دخول غير صحيح، حيث يتم تعديل معلمة login= بحيث تُرسل بدون علامة مساواة أو قيمة.

هذا يتسبب في عرض جهاز NetScaler لمحتويات الذاكرة حتى أول حرف null في قسم <InitialValue></InitialValue> من الاستجابة، كما هو موضح أدناه.

Reading data from memory with a malformed NetScaler login request

تسبب الثغرة في استخدام دالة snprintf مع سلسلة تنسيق تحتوي على %.*s.

تقول التقارير أن كل طلب يسرب حوالي 127 بايت من البيانات، مما يسمح للمهاجمين بإجراء طلبات HTTP متكررة لاستخراج محتويات الذاكرة الإضافية حتى يجدوا البيانات الحساسة التي يبحثون عنها.

بينما كانت محاولات WatchTowr غير ناجحة، تُظهر Horizon3 في الفيديو أدناه أنهم تمكنوا من استغلال هذه الثغرة لسرقة رموز جلسات المستخدمين.