أدى استغلال ثغرة خطرة في منتجات NetScaler من شركة Citrix، والمعروفة باسم “CitrixBleed 2″، إلى اختراق ما لا يقل عن مائة مؤسسة حول العالم، مع استمرار آلاف الخوادم في العمل دون تحديث، مما يبقيها عرضة للهجمات الإلكترونية، بحسب تحذيرات باحثين في الأمن السيبراني.
الثغرة، المُصنفة ضمن قائمة الثغرات الحرجة تحت الرمز CVE-2025-5777 وبدرجة خطورة بلغت 9.3 وفقاً لمقياس CVSS، تنجم عن ضعف في التحقق من صحة البيانات المُدخلة، مما يسمح للمهاجمين بقراءة محتوى الذاكرة خارج النطاق المسموح.
وأثبت الباحثون أنه يمكن استغلال هذه الثغرة لاستخراج رموز الجلسات (Session Tokens) من الأجهزة المصابة، ما يتيح للمهاجمين اختطاف الجلسات وتجاوز أنظمة التحقق المتعددة العوامل (MFA). وأدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) الثغرة في كتالوج الثغرات المستغلة بنشاط (KEV)، مطالبةً الجهات الفيدرالية بتطبيق التحديثات فوراً.
رغم صدور التحديثات الأمنية في 17 يونيو الماضي، بدأت الهجمات الإلكترونية النشطة في 20 يونيو، بحسب الباحث كيفن بومونت، الذي أطلق اسم “CitrixBleed 2” على الثغرة. وأكدت شركة “GreyNoise” المتخصصة في استخبارات التهديدات أن أولى محاولات الاستغلال رُصدت في 24 يونيو.
في 26 يونيو، نشرت شركة Citrix تدوينة تنكر فيها تقارير الاستغلال، قبل أن تُعدل موقفها في 11 يوليو بعد إدراج الثغرة في قاعدة بيانات CISA، مؤكدة أن الخطر يهدد فقط الإصدارات المُعدة كـ”بوابة” أو خوادم AAA، مشددة على ضرورة إنهاء جميع الجلسات النشطة وعدم تصديرها بعد التحديث.
لكن الباحث بومونت انتقد الشركة قائلاً: «من الواضح أن Citrix لم تُنبه عملاءها إلى ضرورة مسح جميع ملفات تعريف الجلسات، مما يُبقي حتى من قاموا بالتحديث عرضة لهجمات اختطاف الجلسات».
الهجمات، التي طالت قطاعات التعليم والخدمات المالية والجهات الحكومية والقانونية والتقنية والاتصالات، استهدفت الضحايا بعناية عبر جمع بيانات من جلسات المستخدمين، واستخدمت أدوات إدارية شرعية للتحكم عن بُعد لتحقيق استمرارية الوصول. وأكد بومونت أن إحدى مجموعات الفدية استغلت الثغرة للدخول الأولي إلى الأنظمة.
وبحسب شركة “Imperva”، تجاوز عدد محاولات استغلال الثغرة 12 مليوناً حتى 11 يوليو، مما يدل على طبيعة الهجمات “العشوائية والكثيفة”، وفق وصف بومونت.
وأشارت “GreyNoise” إلى استخدام 26 عنوان IP ضاراً على الأقل في تنفيذ هذه المحاولات خلال الأسابيع الثلاثة الأخيرة، معظمها من الصين وروسيا وكوريا الجنوبية والولايات المتحدة. كما أوضحت أن بعض المحاولات الأولية جاءت من عناوين صينية استهدفت أنظمة Citrix افتراضية، ما يعكس نية واضحة للهجوم.
وحتى تاريخ 17 يوليو، لا تزال نحو 4700 من أنظمة NetScaler غير محدثة، حسب بيانات “Shadowserver Foundation”.
وأوصت Citrix مستخدميها بالتحديث إلى الإصدارات التالية: NetScaler ADC 14.1-43.56 و13.1-58.32 و13.1-FIPS و13.1-NDcPP 13.1-37.235 و12.1-FIPS 12.1-55.328، وكذلك NetScaler Gateway 14.1-43.56 و13.1-58.32. كما شددت على ضرورة إنهاء جميع الجلسات النشطة ومسح ملفات تعريف الارتباط الخاصة بها لضمان الحماية الكاملة من المخاطر المرتبطة بهذه الثغرة.
