زیرساخت‌های Citrix NetScaler ADC و NetScaler Gateway بخش حیاتی بسیاری از شبکه‌های سازمانی هستند و معمولاً در معرض اینترنت قرار دارند. هرگونه ضعف امنیتی در این محصولات، می‌تواند پیامدهای مستقیم برای امنیت کل سازمان به همراه داشته باشد.

در تاریخ ۲۶ اوت ۲۰۲۵، شرکت Citrix سه آسیب‌پذیری مهم در NetScaler را patch کرد که یکی از آن‌ها (CVE-2025-7775) در حال حاضر در حملات واقعی (Exploited in the Wild) مورد استفاده مهاجمان قرار گرفته است. همین مسئله اهمیت واکنش سریع مدیران شبکه را دوچندان می‌کند.

مروری بر آسیب‌پذیری‌ها

 CVE-2025-7775  (Severity: Critical – CVSS 9.2)

 نوعHeap Overflow / Remote Code Execution :

 شرایط بهره‌برداری: وقتی NetScaler به عنوان Gateway یا AAA virtual server پیکربندی شده باشد.

 پیامد: اجرای کد از راه دور بدون نیاز به احراز هویت یا ایجاد حملات Denial of Service (DoS).

 وضعیتExploited in the Wild:   در حال حاضر هکرها از آن در حملات واقعی استفاده می‌کنند.

CVE-2025-7776  (Severity: High – CVSS 8.8)

 نوع:  Heap Overflow

 پیامد: ایجاد رفتار غیرمنتظره یا اختلال سرویس (DoS) .

 شرایط بهره‌برداری مشابه آسیب‌پذیری اول.

 CVE-2025-8424  (Severity: High – CVSS 8.7)

 نوع:  Access Control Flaw

 پیامد: امکان دسترسی غیرمجاز به رابط مدیریت (Management Interface).

 ریسک: فراهم‌کردن بستری برای حملات ثانویه در صورت دسترسی به شبکه داخلی.

نسخه‌های آسیب‌پذیر و امن

برای رفع این آسیب‌پذیری‌ها، Citrix  نسخه‌های زیر را منتشر کرده است:

• 14.1-47.48 و بالاتر
• 13.1-59.22 و بالاتر
• 13.1-FIPS / NDcPP (13.1-37.241+)
• 12.1-FIPS / NDcPP (12.1-55.330+)

هر نسخه پایین‌تر از این مقادیر، در معرض خطر قرار دارد و باید فوراً ارتقا یابد.

واکنش نهادهای بین‌المللی

• CISA در همان روز (۲۶ اوت ۲۰۲۵)، آسیب‌پذیری CVE-2025-7775 را به Known Exploited Vulnerabilities (KEV) اضافه کرد و به سازمان‌های فدرال آمریکا تنها ۴۸ ساعت برای رفع آن مهلت داد.
• این تصمیم نشان می‌دهد که تهدید از مرحله‌ی نظری گذشته و وارد فاز سوءاستفاده‌ی گسترده شده است.

چرا این آسیب‌پذیری‌ها اهمیت دارند؟

 سوءاستفاده فعال: وجود exploit واقعی به این معنی است که مهاجمان از همین حالا به دنبال سازمان‌هایی هستند که وصله نکرده‌اند.

 سطح حمله گسترده: NetScaler معمولاً روی اینترنت قرار دارد و دروازه‌ی اصلی ورود به شبکه است؛ همین موضوع آن را به هدفی جذاب تبدیل می‌کند.

 تجربه‌های گذشته CitrixBleed : هنوز بسیاری از سازمان‌ها از حملات سال‌های گذشته (مانند CVE-2023-4966 و CVE-2025-5777) آسیب دیده‌اند و تکرار این چرخه نشان می‌دهد که مدیریت وصله در بسیاری از شبکه‌ها چالش‌برانگیز است.

 پیامدهای زنجیره‌ای: دسترسی اولیه از طریق این نقص‌ها می‌تواند منجر به نصب وب‌شل، سرقت اطلاعات کاربری، lateral movement و حتی ایجاد باج‌افزار در شبکه شود.

راهکارهای پیشنهادی برای مدیران شبکه

۱. شناسایی سریع دارایی‌ها
پیش از هر اقدام، مطمئن شوید دقیقاً کدام دستگاه‌های NetScaler در سازمان شما فعال هستند و نسخه آن‌ها چیست. بدون این گام، ممکن است نقاط آسیب‌پذیر از چشم تیم امنیت پنهان بمانند.

۲. اقدام فوری برای وصله (Patch Management)
ارتقا به نسخه‌های امن منتشرشده توسط Citrix باید در اولویت مطلق باشد. به‌خاطر داشته باشید که مهاجمان پیش از شما در حال شناسایی سیستم‌های وصله‌نشده‌اند.

۳. قطع نشست‌های فعال (Active Session Termination)
حتی پس از نصب وصله‌ها، نشست‌های کاربری که پیش‌تر ایجاد شده‌اند می‌توانند همچنان در معرض سوءاستفاده باشند. توصیه می‌شود با دستورات مدیریتی مانند kill aaa session -all همه‌ی این نشست‌ها را ببندید تا احتمال حمله به صفر برسد.

۴. پایش و تحلیل لاگ‌ها
بلافاصله لاگ‌های سیستم و ترافیک را بررسی کنید. ردپای وب‌شل‌ها، ورودهای غیرمجاز یا رفتارهای غیرمعمول می‌تواند نشانه‌ای از سوءاستفاده پیشین باشد.

۵. تقویت کنترل‌های امنیتی
فراتر از وصله، به فکر سخت‌سازی باشید: دسترسی به رابط مدیریت را محدود کنید، احراز هویت چندعاملی (MFA) را فعال سازید و ترافیک ورودی و خروجی را به‌طور مستمر پایش کنید.

۶. مستندسازی و بهبود فرآیندها
تمام اقدامات انجام‌شده را ثبت کنید و با تیم‌های مرتبط به اشتراک بگذارید. این کار نه‌تنها به شفافیت کمک می‌کند بلکه در بهبود رویه‌های پاسخ‌گویی در آینده هم مؤثر است.

جمع‌بندی

آسیب‌پذیری‌های این چنینی تنها یک هشدار تئوری نیستند بلکه حملات فعال نشون دهنده ی این هستند که مهاجمان همواره دنبال سرورهای وصله‌نشده هستند. هر روز تأخیر، یعنی یک قدم نزدیک‌تر شدن به نفوذ، دسترسی غیرمجاز و حتی باج‌افزار در شبکه‌ی شما.