الصفحات
بحث
تحذير أمني: حملة تجسس ضخمة تستهدف خوادم Citrix (2025)
الأمن السيبراني #أمن_سيبراني #Citrix

تحذير أمني: حملة تجسس ضخمة تستهدف خوادم Citrix (2025)

منذ ساعة 3 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
3 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشفت تقارير أمنية حديثة عن حملة استطلاع وتجسس منسقة استهدفت البنية التحتية لخدمات Citrix NetScaler خلال الأسبوع الماضي، حيث استخدم المهاجمون عشرات الآلاف من الوكلاء المنزليين (Residential Proxies) لاكتشاف لوحات تسجيل الدخول وتحديد إصدارات الأنظمة.

تفاصيل الهجوم الواسع

رصدت منصة مراقبة التهديدات GreyNoise هذا النشاط المشبوه في الفترة ما بين 28 يناير و2 فبراير. وأشار الباحثون إلى أن مصدر حركة المرور (Traffic) جاء من أكثر من 63,000 عنوان IP فريد، أطلقت ما مجموعه 111,834 جلسة اتصال. واللافت أن 79% من هذه الحركة كانت موجهة نحو مصائد مخترقين (Honeypots) تحاكي بوابة Citrix Gateway.

ووفقاً للتحليل، فإن حوالي 64% من حركة المرور جاءت عبر وكلاء منزليين، حيث ظهرت عناوين الـ IP موزعة حول العالم وكأنها عناوين مستخدمين منزليين شرعيين لتجاوز فلاتر السمعة الأمنية، بينما جاءت النسبة المتبقية (36%) من عنوان IP واحد تابع لخدمة Azure.

ماذا يريد المهاجمون؟

تؤكد GreyNoise أن هذا النشاط يشير بقوة إلى عملية "رسم خريطة للبنية التحتية" تسبق مرحلة الاستغلال الفعلي، بدلاً من كونه مسحاً عشوائياً للإنترنت. وقد ركز المهاجمون على مسارين رئيسيين:

  • المسار الأول: استهدف واجهة المصادقة '/logon/LogonPoint/index.html' لتحديد لوحات دخول Citrix المكشوفة، وذلك عبر أكثر من 109 آلاف جلسة.
  • المسار الثاني: ركز على مسار '/epa/scripts/win/nsepa_setup.exe' لتحديد إصدارات Citrix بدقة، مما يشير إلى اهتمام بتطوير استغلال لثغرات محددة.

مؤشرات الخطر وعلاقتها بثغرات 2025

لاحظ الباحثون استخدام المهاجمين لمتصفح Chrome 50 (الذي صدر عام 2016) في عملية المسح. ويرجح الخبراء أن هذا المسح المستهدف قد يكون مرتبطاً بالثغرات الحرجة الأخيرة التي تم الكشف عنها، وتحديداً CVE-2025-5777 المعروفة باسم "CitrixBleed 2"، وثغرة التنفيذ عن بُعد للكود CVE-2025-5775.

كيف تحمي مؤسستك؟

أصدرت GreyNoise قائمة بتوصيات عاجلة لمديري الأنظمة، تتضمن مراجعة ضرورة وجود بوابات Citrix Gateway مواجهة للإنترنت، وتقييد الوصول إلى دليل '/epa/scripts/'، بالإضافة إلى تعطيل ميزة كشف الإصدار في استجابات HTTP. كما نصحت بمراقبة أي وصول غير طبيعي من مزودي خدمة إنترنت منزليين في مناطق جغرافية غير متوقعة.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##Citrix ##حماية_البيانات ##تكنولوجيا

الأسئلة الشائعة

هي حملة استطلاع منظمة تستخدم آلاف العناوين المنزلية لتحديد لوحات دخول Citrix وإصدارات البرامج تمهيداً لهجمات محتملة.

يستخدم المهاجمون وكلاء منزليين (Residential Proxies) تظهر كعناوين IP لمستخدمين عاديين لتجنب الحظر القائم على السمعة.

يرجح الباحثون ارتباط الحملة بالتحضير لاستغلال ثغرات حديثة مثل CVE-2025-5777 (CitrixBleed 2) و CVE-2025-5775.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!