Citrix NetScaler’dagi xavfli yangi (0-day) zaiflik: global miqyosda kiberhujum xavfi

2025-yil may oyidan buyon yangi aniqlangan CVE-2025-6543 identifikatorli zaiflik Citrix NetScaler ADC va Gateway qurilmalarida faol ekspluatatsiya qilinmoqda. Ushbu zaiflikdan foydalangan kiberjinoyatchilar bir nechta yirik tashkilotlarning himoya chegarasini yorib o‘tishga muvaffaq bo‘lishdi.

Citrix NetScaler ADC va Gateway qurilmalari kompaniya tarmoqlarida juda muhim vazifani bajaradi — ular internetdan kelayotgan ma’lumot yukini teng taqsimlaydi va xodimlarga masofadan xavfsiz ulanib ishlash imkonini beradi. Agar bu qurilmalar buzilsa, butun ichki tizim xavfsizligi katta xavf ostida qoladi.

Zaiflik qanday ishlaydi?

Tajovuzkorlar ushbu 0-day zaiflikdan foydalanib, qurilmalarga yashirin veb-shell (web shell) joylashtirgan. Bu ularga tizimga uzoq muddatli kirish imkonini bergan va hatto ishlab chiquvchilar iyun oyida tuzatish yangilanishini chiqarganidan keyin ham kirish huquqini saqlab qolishgan.

Web-shell’lar maxsus PHP fayllari orqali joylashtirilgan bo‘lib, ular ko‘pincha:

  • Noodatiy yaratilgan sanaga ega
  • Bir xil nom, lekin turli kengaytmalar bilan saqlangan
  • Tizim kataloglarida yashiringan bo‘ladi

Kiberjinoyatchilarning murakkab usullari

Hujumchilar o‘z izlarini maxsus usullar bilan o‘chirib tashlashgan, bu esa forensik tekshiruvni murakkablashtirgan. Bunday yondashuv professional darajadagi, katta resurs va tajribaga ega tahdid guruhlarining ishtirokidan darak beradi.

Aniqlash va zararsizlantirish choralar

Agar tashkilot Citrix NetScaler qurilmasidan foydalansa, tizim papkalarida noodatiy PHP fayllar bor-yo‘qligini tekshirish tavsiya etiladi. Shuningdek, quyidagi buyruqlar orqali potentsial zararli sessiyalarni to‘xtatish mumkin:

kill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessions

Lekin faqat yangilanishni o‘rnatish yetarli emas — qurilma allaqachon buzilgan bo‘lishi mumkin. Shuning uchun:

  • To‘liq forensik tekshiruv o‘tkazish
  • Veb-shell va zararli fayllarni o‘chirish
  • Kirish yozuvlarini (logs) tahlil qilish
  • Zarurat bo‘lsa, qurilmani qayta sozlash tavsiya etiladi

Xulosa

Ushbu voqea yana bir bor shuni ko‘rsatadiki, 0-day zaifliklar juda xavfli va ularni faqat vaqtida yangilash emas, balki chuqur monitoring ham zararsizlantira oladi. Xususan, tarmoq chegarasida joylashgan qurilmalar — masofaviy kirish shlyuzlari, yuk balanslovchilar va VPN tizimlari — kiberjinoyatchilar uchun eng jozibali nishon hisoblanadi.