تأیید بهره‌برداری فعال از آسیب‌پذیری Citrix NetScaler با شناسه CVE-2025-6543 در بخش‌های حیاتی توسط مرکز ملی امنیت سایبری هلند (NCSC)

مرکز ملی امنیت سایبری هلند (NCSC-NL) در مورد حملات سایبری که از یک نقص امنیتی بحرانی که اخیراً افشا شده و محصولات Citrix NetScaler ADC را تحت تأثیر قرار می‌دهد، برای نفوذ به سازمان‌های این کشور هشدار داده است.

NCSC-NL اعلام کرد[۱] که بهره‌برداری از CVE-2025-6543 را که چندین سازمان حیاتی در هلند را هدف قرار داده است، کشف کرده است و تحقیقات برای تعیین میزان تأثیر آن ادامه دارد[۲].

CVE-2025-6543 (امتیاز ۹٫۲ در CVSS) یک آسیب‌پذیری امنیتی بحرانی در NetScaler ADC است که منجر به جریان کنترل ناخواسته و انکار سرویس (DoS) می‌شود، زمانی که دستگاه‌ها به‌عنوان یک Gateway (سرور مجازی VPN، پروکسی ICA، CVPN، پروکسی RDP) یا سرور مجازی AAA پیکربندی می‌شوند.

این آسیب‌پذیری اولین بار در اواخر ژوئن ۲۰۲۵ افشا شد و وصله‌هایی در نسخه‌های زیر منتشر شد:

• NetScaler ADC و NetScaler Gateway 14.1 قبل از ۱۴.۱-۴۷.۴۶
• NetScaler ADC و NetScaler Gateway 13.1 قبل از ۱۳.۱-۵۹.۱۹
• NetScaler ADC 13.1-FIPS و NDcPP قبل از ۱۳.۱-۳۷.۲۳۶-FIPS و NDcPP

از تاریخ ۳۰ ژوئن ۲۰۲۵، CVE-2025-6543 به فهرست آسیب‌پذیری‌های شناخته‌شده مورد بهره‌برداری (KEV) آژانس امنیت سایبری و زیرساخت ایالات‌متحده (CISA) اضافه شده است[۳]. نقص دیگری در همان محصول (CVE-2025-5777، امتیاز ۹٫۳ در CVSS) نیز ماه گذشته در این فهرست قرار گرفت.

NCSC-NL این فعالیت را احتمالاً کار یک عامل تهدید پیشرفته توصیف کرد و افزود که این آسیب‌پذیری از اوایل ماه مه ۲۰۲۵ – تقریباً دو ماه قبل از افشای عمومی آن – به‌عنوان یک آسیب‌پذیری روز صفر مورد بهره‌برداری قرار گرفته است و مهاجمان در تلاش برای پنهان کردن این نفوذ، اقداماتی را برای پاک کردن ردپاها انجام داده‌اند. این بهره‌برداری در ۱۶ ژوئیه ۲۰۲۵ کشف شد.

این آژانس گفت: “در طول تحقیقات، پوسته‌های وب مخرب در دستگاه‌های Citrix یافت شد. یک پوسته وب، قطعه‌ای از کد مخرب است که به مهاجم دسترسی از راه دور به سیستم را می‌دهد. مهاجم می‌تواند با بهره‌برداری از یک آسیب‌پذیری، یک پوسته وب را در سیستم قرار دهد.”

برای کاهش خطر ناشی از CVE-2025-6543، به سازمان‌ها توصیه می‌شود که آخرین به‌روزرسانی‌ها را اعمال کنند و با اجرای دستورات زیر، جلسات دائمی و فعال را خاتمه دهند:

• kill icaconnection -all
• kill pcoipConnection -all
• kill aaa session -all
• kill rdp connection -all
• clear lb persistentSessions

سازمان‌ها همچنین می‌توانند یک اسکریپت shell که توسط NCSC-NL در دسترس قرار گرفته است[۴] را اجرا کنند تا نشانه‌هایی از نفوذ مرتبط با بهره‌برداری از CVE-2025-6543 را جستجو کنند.

NCSC-NL گفت: “فایل‌هایی با پسوند .php متفاوت در پوشه‌های سیستم Citrix NetScaler ممکن است نشانه‌ای از بهره‌برداری باشند. حساب‌های کاربری تازه ایجاد شده در NetScaler و به‌طور خاص حساب‌های کاربری با حقوق افزایش یافته را بررسی کنید.”

  منابع

[۱] https://www.ncsc.nl/actueel/nieuws/2025/07/22/casus-citrix-kwetsbaarheid

[۲] https://thehackernews.com/2025/06/citrix-releases-emergency-patches-for.html

[۳] https://apa.aut.ac.ir/?p=11440

[۴] https://github.com/NCSC-NL/citrix-2025

[۵] https://thehackernews.com/2025/08/dutch-ncsc-confirms-active-exploitation.html