Citrix qurilmalarida yana bir xavfli zaiflik aniqlandi va bu holat yana eski xavfsizlik muammolarini eslatdi. Taxminan 1,5 yil oldin bo‘lib o‘tgan CitrixBleed voqeasidan keyin, unda xakerlar oddiy HTTP so‘rov yordamida qurilma xotirasidan maxfiy ma’lumotlarni chiqarib olishgan edi, yana shunga o‘xshash holat yuz berdi.
Bu safar CVE-2025-5777 deb nomlangan yangi zaiflik haqida gap ketmoqda. CVSS tizimida 9.3 ball baho olingan bu muammo yana Citrix’ning mashhur qurilmalari — NetScaler’ga ta’sir qilmoqda. Bu qurilmalar masofaviy ishlash va xavfsiz ulanish uchun ishlatiladi.
Dastlab bu muammo 2025-yil 17-iyun kuni aniqlangan bo‘lib, u NetScaler boshqaruv interfeysi bilan bog‘liq deb hisoblangan. Lekin keyinchalik bu izoh yangilandi va “boshqaruv interfeysi” haqida yozilgan qismi olib tashlandi. Bu o‘zgarish muammoni yanada jiddiyroq va ko‘plab tashkilotlar uchun xavfliroq qildi.
Bu zaiflik NetScaler gateway yoki AAA virtual server sifatida sozlangan qurilmalarga ta’sir qiladi. Bu konfiguratsiyalar odatda Citrix orqali masofaviy ishlash, RDP va boshqa xizmatlarda keng qo‘llaniladi. Shuning uchun bu muammo alohida qurilmalarga emas, balki juda ko‘p kompaniyalar foydalanadigan tizimlarga taalluqlidir.
Xakerlar hech qanday login yoki parol kiritmasdan maxsus so‘rov yuborishadi va qurilma xotirasidan ma’lumot olishadi. Bu ma’lumotlar ichida sessiya tokenlari (foydalanuvchi sessiyalarini aniqlovchi maxfiy kalitlar) ham bo‘lishi mumkin. Agar ular xakerlar qo‘liga tushsa, ular tizimga foydalanuvchi nomidan kirishlari, hatto ikki bosqichli himoyani ham chetlab o‘tishlari mumkin bo‘ladi.
Bu holat avvalgi CitrixBleeddagi hujumga juda o‘xshaydi — u yerda ham xakerlar xotiradan sessiya kalitlarini olib, foydalanuvchi nomidan tizimlarga kirishgan edi.
Hujum qilish osonmi?
Ha, juda oson. Shodan kabi maxsus saytlar orqali ochiq turgan Citrix qurilmalarini topish mumkin. Faqat NetScaler qurilmasining favicon (belgi) hash kodini bilish kifoya — 1-2 daqiqada Internetda ochiq turgan potentsial qurilmalar ro‘yxati chiqadi. Va eng xavflisi — hujum uchun login/parol kerak emas, mutaxassis bo‘lish ham shart emas.
Citrix kompaniyasi barcha NetScaler foydalanuvchilariga quyidagilarni tavsiya qilmoqda:
- Qurilmani yangilab, xavfsizlik yamoqlarini (patch) o‘rnating.
- Yangilagandan so‘ng barcha faol sessiyalarni majburan to‘xtating — chunki yangilanishdan oldin o‘g‘irlangan sessiyalar ishlashda davom etishi mumkin.
Buning uchun quyidagi buyruqlarni qo‘lda bajarish kerak:
bashCopyEditkill icaconnection -all
kill pcoipConnection -all
Bu choralar ilgari CitrixBleed muammosida ham qo‘llanilgan.
Citrix hozircha bu zaiflik orqali haqiqiy hujumlar bo‘lganini tasdiqlamagan. Ammo shuni yodda tutish kerakki, CitrixBleed voqeasida ham dastlab hech qanday hujum bo‘lmadi deb aytilgan, keyin esa bir nechta jiddiy holatlar ro‘y berdi.
Hozircha bu zaiflikni aniqlash uchun rasmiy vosita yo‘q. Shuning uchun eng yaxshi chorasi — iloji boricha tezroq yangilanish o‘rnatishdir.
Bu zaiflik haqida xabar berganlar — Positive Technologies va Italiya mudofaa kiberxavfsizlik markazi (ITA MOD CERT / CERTDIFESA). Ammo aynan kim birinchi bo‘lib uni aniqlagani ochiqlanmagan.
