بیش از 1200 تجهیز Citrix NetScaler ADC و NetScaler Gateway آنلاین در برابر آسیب پذیری حیاتی ای که مورد بهره برداری قرار گرفته اند، آسیب پذیر هستند و به مهاجم امکان بای پس احراز هویت از طریق سرقت نشست های کاربر را میدهد.
این آسیب پذیری با شناسه CVE-2025-5777 تحت عنوان Citrix Bleed 2 شناخته شده است و یک آسیب پذیری out-of-bounds memory read است که ناشی از اعتبارسنجی ناکافی ورودی بوده و به مهاجم احراز هویت نشده امکان دسترسی به مناطق محدود حافظه را میدهد.
در سال 2023 نیز یک آسیب پذیری مشابه به نام CitrixBleed در حملات باج افزاری مورد بهره برداری قرار گرفته و اطلاعات سازمانهای هدف از طریق هک تجهیزات NetScaler و حرکت جانبی در شبکه، نقض شد.
با بهره برداری موفق از CVE-2025-5777 مهاجمان می توانند توکن های نشست، اطلاعات هویتی و سایر اطلاعات حساس را از سرورهای مجازی و گیت وی های عمومی به سرقت برده و آنها را قادر می سازد تا نشست های کاربران به دست گرفته و احراز هویت های چندعاملی را دور بزنند.
در دستورالعمل منتشر شده از سمت Citrix این شرکت به کاربران خود هشدار داد که برای جلوگیری از حملات بالقوه تمامی نشست های فعال ICA و PCoIP را بعد از آپگرید تجهیزات خود به نسخه وصله شده، حذف نمایند.
Shadowserver اعلام کرد که تا آخر هفته حدود 1200 تجهیز وصله نشده شناسایی نموده است. 
در حالی که Citrix هنوز تأیید نکرده است که این نقص امنیتی در سطح اینترنت مورد سوءاستفاده قرار گرفته است و اعلام کرده است که «در حال حاضر هیچ مدرکی مبنی بر سوءاستفاده از CVE-2025-5777 وجود ندارد»، شرکت امنیت سایبری ReliaQuest روز پنجشنبه با اطمینان متوسط گزارش داد که این آسیبپذیری در حال حاضر در حملات هدفمند مورد سوءاستفاده قرار میگیرد.
Shadowserver همچنین بیش از ۲۱۰۰ دستگاه NetScaler را که در برابر یک آسیبپذیری بحرانی دیگر (CVE-2025-6543) وصله نشده بودند، پیدا کرد. این آسیبپذیری اکنون به طور فعال در حملات DoS مورد سوءاستفاده قرار میگیرد.
با توجه به اینکه هر دو نقص به عنوان آسیبپذیریهای بحرانی طبقهبندی شدهاند، به مدیران شبکه توصیه میشود که در اسرع وقت آخرین وصلههای Citrix را نصب کنند. شرکتها همچنین باید کنترلهای دسترسی خود را بررسی کرده و دستگاههای Citrix NetScaler را برای نشست ها و فعالیتهای مشکوک کاربران رصد کنند.
منبع:
