ایران‌هک را در شبکه‌های اجتماعی دنبال کنید

گروه سایبری ایران هک

167
167 امتیاز

ابزارها, اکسپلویت, امنیت, باگ, درز اطلاعات, روز صفر

انتشار PoC برای آسیب‌پذیری خطرناک CitrixBleed2 – استخراج ۱۲۷ بایت اطلاعات حساس به ازای هر درخواست

169نمایش

پژوهشگران امنیتی PoC یا «اثبات مفهومی» آسیب‌پذیری بحرانی جدیدی با نام CitrixBleed2 را منتشر کرده‌اند. این آسیب‌پذیری با شناسه CVE-2025-5777 ثبت شده و محصولات Citrix NetScaler ADC و Gateway را هدف قرار می‌دهد. مهاجمان می‌توانند با هر درخواست، تا ۱۲۷ بایت اطلاعات حساس از حافظه سرور استخراج کنند؛ اطلاعاتی مانند توکن‌های نشست (Session Tokens) و اعتبارنامه کاربران (Credentials).

🔑 نکات کلیدی

  1. CVE-2025-5777 امکان افشای حافظه را فراهم می‌کند که شامل استخراج ۱۲۷ بایت اطلاعات حساس به ازای هر درخواست است.

  2. حمله با ارسال درخواست‌های ناقص به مسیر /p/u/doAuthentication.do انجام می‌شود که باعث نشت محتوای حافظه می‌گردد.

  3. امکان سرقت توکن‌های حساس ادمین مثل nsroot و اعتبارنامه‌های کاربران فعال وجود دارد.

  4. هنوز اکسپلویت در حال استفاده فعال است و باید فوراً وصله ژوئن ۲۰۲۵ را اعمال کرده و نشست‌های فعال را خاتمه دهید.

🔬 جزئیات فنی آسیب‌پذیری

این نقص از مدیریت نادرست حافظه در فایل اجرایی nsppe سرچشمه می‌گیرد که مسئول پردازش AAA و Gateway در NetScaler است.

هنگامی که یک درخواست لاگین به /p/u/doAuthentication.do ارسال می‌شود ولی بعضی کلیدهای فرم مقداردهی نشده باشند، مسیر اجرایی کد باعث می‌شود اشاره‌گر param_2 به بخش مجاور حافظه اشاره کند. این بخش به صورت نادرست خاتمه‌یافته (null-terminated) تلقی شده و دقیقاً ۱۲۷ بایت از داده‌های ناخواسته را در پاسخ باز می‌گرداند.

💣 خطرات بهره‌برداری

  • استخراج توکن‌های نشست ادمین‌ها مثل nsroot

  • دسترسی به اعتبارنامه‌های متنی کاربران فعال

  • اجرای حمله بدون نیاز به احراز هویت

  • امکان سوءاستفاده در سطح گسترده از طریق اسکریپت‌های خودکار

📌 نسخه‌های آسیب‌پذیر

محصول نسخه آسیب‌پذیر
NetScaler ADC & Gateway 14.1 قبل از ۱۴.۱-۴۳.۵۶
NetScaler ADC & Gateway 13.1 قبل از ۱۳.۱-۵۸.۳۲
NetScaler ADC 13.1-FIPS & NDcPP قبل از ۱۳.۱-۳۷.۲۳۵
NetScaler ADC 12.1-FIPS قبل از ۱۲.۱-۵۵.۳۲۸

🧯 راهکارهای کاهش خطر

  1. نصب فوری وصله‌های ژوئن ۲۰۲۵

  2. خاتمه تمامی نشست‌های فعال (ICA، PCoIP)

  3. بررسی فایل‌های لاگ (ns.log) برای کاراکترهای غیرقابل‌چاپ در حالت debug

  4. مقایسه پیکربندی فعلی با بکاپ‌های سالم با استفاده از ابزارهای diff برای کشف تغییرات مشکوک مانند اکانت‌های backdoor

  5. نظارت بر نشست‌هایی با رفتار مشکوک مانند دسترسی یک کاربر از IPهای مختلف

🚨 وضعیت تهدید

سازمان CISA آسیب‌پذیری مرتبط CVE-2025-6543 را به فهرست آسیب‌پذیری‌های مورد سوءاستفاده فعال اضافه کرده که نشان می‌دهد این نوع حملات در حال وقوع در دنیای واقعی هستند.

همچنین از آن‌جا که CitrixBleed2 شباهت‌های زیادی به آسیب‌پذیری CVE-2023-4966 (CitrixBleed اصلی) دارد، انتظار می‌رود مهاجمان از همان تکنیک‌های post-exploitation مانند ایجاد پایداری و تغییر پیکربندی‌ها استفاده کنند.

, , , , , , , , , , , , , , ,

دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

167
167 امتیاز

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

واکنش شما به این مطلب چیست ؟

جالب جالب
4
جالب
خنده‌دار خنده‌دار
4
خنده‌دار
انزجار انزجار
2
انزجار
عجیب عجیب
1
عجیب
ناراحت ناراحت
0
ناراحت
بد بد
6
بد
باحال باحال
4
باحال
خوب خوب
4
خوب
ترسناک ترسناک
2
ترسناک

ورود به اسایت

Captcha!
Forgot password?

رمز را فراموش کردم

Back to
ورود به اسایت