კიბერშეტევების ახალი ტალღა: CitrixBleed 2 მოწყვლადობა კვირების განმავლობაში აქტიურად გამოიყენება

ექსპლუატაცია ჰაკერებს საშუალებას აძლევს, გვერდი აუარონ ორფაქტორიან ავთენტიფიკაციას და მოწყვლად მოწყობილობებზე კონტროლი დაამყარონ. 

მკვლევარების თქმით, Citrix-ის ქსელური მართვის მოწყობილობებში აღმოჩენილი კრიტიკული მოწყვლადობა, რომელიც ჰაკერებს მრავალფაქტორიანი ავთენტიფიკაციის გვერდის ავლის საშუალებას აძლევს, უკვე ერთ თვეზე მეტია აქტიურად გამოიყენება. ეს დასკვნა ეწინააღმდეგება მწარმოებლის ოფიციალურ განცხადებებს, რომლის მიხედვითაც, მოწყვლადობის რეალურ თავდასხმებში გამოყენების მტკიცებულება არ არსებობს. 

მოწყვლადობა, რომელიც CVE-2025-5777-ის სახელითაა ცნობილი, მსგავსებებს იზიარებს CVE-2023-4966-თან, მეტსახელად CitrixBleed, რომელმაც ორი წლის წინ 20,000-მდე Citrix-ის მოწყობილობის კომპრომეტაცია გამოიწვია. მაშინ გატეხილი მომხმარებლების სიაში მოხვდნენ Boeing, ავსტრალიური გადამზიდავი კომპანია DP World, ჩინეთის კომერციული ბანკი და იურიდიული ფირმა Allen & Overy. ასევე, თავდასხმის შედეგად გატეხეს Comcast-ის ქსელი, საიდანაც თავდამსხმელებმა 36 მილიონი Xfinity-ის მომხმარებლის პაროლები და სხვა სენსიტიური ინფორმაცია მოიპარეს. 

თავდამსხმელებისთვის მიცემული უპირატესობა 

ორივე მოწყვლადობა Citrix-ის NetScaler Application Delivery Controller-სა და NetScaler Gateway-ში არსებობს — პროდუქტებში, რომლებიც კორპორაციულ ქსელებში დატვირთვის დაბალანსებასა და ერთჯერადი ავტორიზაციის (single sign-on) ფუნქციას უზრუნველყოფენ. მოწყვლადობა იწვევს მოწყობილობის მეხსიერების მცირე ნაწილების „გაჟონვას“ ინტერნეტიდან გაგზავნილი მოდიფიცირებული მოთხოვნის მიღების შემდეგ. იგივე მოთხოვნების განმეორებით გაგზავნით, ჰაკერებს შეუძლიათ საკმარისი მონაცემების შეგროვება მომხმარებლის ავტორიზაციის ინფორმაციის (credentials) აღსადგენად. თუ ორიგინალ CitrixBleed-ს სიმძიმის დონე 10-ბალიანი შკალით 9.8 ჰქონდა, ახალი, CitrixBleed 2-ის სიმძიმე 9.2-ითაა შეფასებული. 

Citrix-მა ახალი მოწყვლადობის შესახებ ინფორმაცია და უსაფრთხოების პატჩი 17 ივნისს გამოაქვეყნა. ცხრა დღის შემდეგ, განახლებულ ინფორმაციაში კომპანიამ განაცხადა, რომ „ამ დროისთვის ექსპლუატაციის არანაირი მტკიცებულება არ გააჩნია“. მას შემდეგ Citrix-ს დამატებითი ინფორმაცია არ გაუვრცელებია. თუმცა, მკვლევარები აცხადებენ, რომ მათ იპოვეს მტკიცებულებები, რომ CitrixBleed 2 უკვე კვირებია აქტიურად გამოიყენება. უსაფრთხოების ფირმა Greynoise-მა გასულ ორშაბათს განაცხადა, რომ მათ კიბერუსაფრთხოების სატყუარების (honeypot) ლოგებში ექსპლუატაციის კვალი 1 ივლისიდან აღმოაჩინეს. გასულ სამშაბათს კი დამოუკიდებელმა მკვლევარმა კევინ ბომონტმა დაწერა, რომ იგივე ლოგების მიხედვით, CitrixBleed 2-ს, სულ მცირე, 23 ივნისიდან იყენებენ — სამი დღით ადრე, სანამ Citrix იტყოდა, რომ თავდასხმების მტკიცებულება არ ჰქონდა. 

მკვლევარების თქმით, აქტიური ექსპლუატაციის შესახებ ინფორმაციის დამალვა ერთადერთი პრობლემა არ არის. გასულ კვირას, უსაფრთხოების ფირმა watchTowr-მა გამოაქვეყნა პოსტი, სადაც გააკრიტიკა Citrix იმის გამო, რომ მან არ გაასაჯაროვა კომპრომეტაციის ინდიკატორები — ტექნიკური დეტალები, რომლებითაც მომხმარებლები შეძლებდნენ შეემოწმებინათ, გახდნენ თუ არა თავდასხმის სამიზნე. გასულ ორშაბათს, ანალოგიური კრიტიკით გამოვიდა კომპანია Horizon3.ai-ც: „ასეთი კრიტიკული საკითხების შესახებ შეზღუდული ინფორმაციით უსაფრთხოების ანგარიშების გამოქვეყნება გრძელვადიან პერსპექტივაში მხოლოდ აზიანებს კიბერუსაფრთხოების სპეციალისტებს. უარეს შემთხვევაში, ეს ორგანიზაციებს სრულ გაურკვევლობაში ტოვებს იმის შესახებ, გახდნენ თუ არა თავდასხმის მსხვერპლი, მაშინაც კი, როცა პატჩები უკვე დააყენეს.“ ინდიკატორების საჯაროდ გამოქვეყნების ნაცვლად, Citrix მომხმარებლებს პირდაპირ მხარდაჭერის გუნდთან დაკავშირებას სთხოვს და ამტკიცებს, რომ დეტალების დამალვა პოტენციურ თავდამსხმელებს ხელს უშლის. თუმცა, კევინ ბომონტის აზრით, დეტალების ნაკლებობამ ექსპლუატაცია მხოლოდ გაამარტივა. 

„რეალურად, ექსპლუატაცია პატჩის გამოშვებიდან მალევე დაიწყო, ასე რომ, ტექნიკური დეტალების დამალვამ პროცესი ვერ შეანელა — მან თავდამსხმელებს უპირატესობა მისცა და მომხმარებლებს უსაფრთხოების ყალბი განცდა დაუტოვა,“ — წერს ბომონტი. მან ასევე გაასაჯაროვა Citrix-ის მიერ დამალული დეტალები და აღნიშნა, რომ ექსპლუატაციები მიმართულია doAuthentication.do საბოლოო წერტილისკენ (endpoint), რომელიც Netscaler-ის მოწყობილობების ავთენტიფიკაციას უზრუნველყოფს. თავდამსხმელები დღეში ათასობით მოთხოვნას აგზავნიან, სანამ მოწყვლადი მოწყობილობა საკმარის მონაცემს არ გაჟონავს სესიის ტოკენების აღსადგენად. სამივე კვლევაში ნათქვამია, რომ მხოლოდ პატჩის დაყენება არასაკმარისია. მომხმარებლებმა ასევე უნდა გამოიყენონ გასაჯაროებული ინდიკატორები, რათა შეამოწმონ, ხომ არ არის მათი მოწყობილობები უკვე კომპრომეტირებული. Citrix-მა ელექტრონულ წერილზე პასუხისას არ დაადასტურა, ფლობს თუ არა ინფორმაციას აქტიური ექსპლუატაციის შესახებ. კომპანიის წარმომადგენელმა მხოლოდ აღნიშნა, რომ „Citrix-ი ერთგულია პასუხისმგებლიანი გამჭვირვალობის პრინციპის, რათა დაეხმაროს მომხმარებლებს ანომალიების იდენტიფიცირებაში“ 

ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ უფლება განათავსონ როგორც ვაკანსიები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.