Citrix NetScaler’da (0-Day) xavf: Masofadan kod ishga tushirishga olib keluvchi zaifliklar faol ekspluatatsiya qilinmoqda

Kiberxavfsizlik olamida navbatdagi xavfli signal yangradi: Cloud Software Group NetScaler ADC (avvalgi Citrix ADC) va NetScaler Gateway (avvalgi Citrix Gateway) qurilmalarida masofadan kod ishga tushirish (RCE) hamda xizmatdan voz kechishga (DoS) olib keluvchi bir nechta yuqori darajadagi zaifliklarni e’lon qildi. Eng xavflisi – CVE-2025-7775 – allaqachon real hujumlarda ishlatilmoqda va himoyasiz qolgan qurilmalar kiberjinoyatchilar nishoniga aylangan.

CVE-2025-7775 – Faol hujum ostidagi asosiy zaiflik

CVSS shkalasi bo‘yicha 9.2 ballga ega bo‘lgan CVE-2025-7775 xotira toshib ketishi (memory overflow) orqali masofadan kod ishga tushirish va tizimni ishdan chiqarishga imkon beradi. Zaiflik quyidagi holatlarda ishga tushadi:

  • Qurilma Gateway sifatida sozlanganida (VPN, ICA Proxy, CVPN, RDP Proxy)
  • AAA virtual server yoki HDX turidagi Content Routing (CR) serverlari mavjud bo‘lsa
  • IPv6 xizmatlari bilan bog‘langan HTTP/SSL/HTTP_QUIC turidagi Load Balancing serverlari ishlatilsa

Shuningdek, yana ikki muammo aniqlandi:

  • CVE-2025-7776 (CVSS 8.8): Gateway’da PCoIP profili bog‘langanida yuzaga keladigan xotira toshib ketishi, bu DoS hujumlariga olib kelishi mumkin.
  • CVE-2025-8424 (CVSS 8.7): Boshqaruv interfeysida noto‘g‘ri ruxsat nazorati. Hujum uchun NSIP, CLIP, SNIP yoki GSLB boshqaruv IP manzillariga yaqin tarmoqdan kirish talab etiladi.

Xavf qayerdan kelmoqda?

Mutaxassislarning fikricha, CVE-2025-7775 ekspluatatsiyasi ayniqsa xavfli, chunki bu zaiflik Internetga ochiq turgan Gateway serverlari orqali amalga oshirilmoqda. Hujumchilar tizimga kirgach, o‘z kodlarini ishga tushirish, VPN orqali ichki tarmoqqa kirish va butun xizmatlarni ishdan chiqarish imkoniyatiga ega bo‘ladi.

Qanday choralar ko‘rish kerak?

Cloud Software Group barcha foydalanuvchilarga quyidagilarni qat’iy tavsiya qilmoqda:

  1. Darhol yangilash: NetScaler ADC/Gateway qurilmalarini quyidagi versiyalarga yoki undan yuqoriga ko‘tarish:
    • 14.1-47.48, 13.1-59.22
    • 13.1-FIPS/NDcPP – 13.1-37.241
    • 12.1-FIPS/NDcPP – 12.1-55.330
  2. Boshqaruv interfeysini himoyalash: NSIP, CLIP, SNIP va GSLB IP manzillariga faqat maxsus boshqaruv tarmoqlari orqali ruxsat berish.
  3. Loglarni kuzatish: Kutilmagan qayta ishga tushirishlar, anomaliyalar, boshqaruv paneliga g‘ayritabiiy murojaatlar mavjudligini tekshirish.
  4. Zaiflikni aniqlash: ns.conf konfiguratsiyasida AAA yoki Gateway vserverlarining mavjudligi, IPv6 bilan bog‘langan LB vserverlari va PCoIP profillari borligini ko‘rib chiqish.

CVE-2025-7775 – bu oddiy texnik nosozlik emas, balki kiberxavfsizlikning eng zaif nuqtalaridan birini fosh etuvchi chaqiriqdir. NetScaler kabi infratuzilmaviy yechimlar bugungi kunda korxona tarmoqlarining yuragi hisoblanadi va bitta zaiflik butun tizimni izdan chiqarishi mumkin. Zudlik bilan patch qo‘llash, tarmoq segmentatsiyasi va muntazam xavfsizlik auditi – bunday tahdidlarga qarshi yagona samarali yo‘ldir.