أحد عشر يوماً، 11.5 مليون محاولة: التسريب الذي تجاوز المصادقة متعددة العوامل

بقلم فريق زمام · 26 May 2026 · حُدّث 29 May 2026

الخلاصة

سرّبت CitrixBleed 2 (CVE-2025-5777) رموز الجلسات من ذاكرة NetScaler، فأتاحت للمهاجمين إعادة تشغيل جلسة وتجاوز المصادقة متعددة العوامل بعد أن يكون المستخدم قد اجتازها.
بدأ الاستغلال قبل نحو 11 يوماً من ظهور إثبات مفهوم علني؛ ورصدت Imperva أكثر من 11.5 مليون محاولة استغلال، واختُرقت أكثر من 100 مؤسسة.
ما كان الفحص الخارجي سيُظهره: بوابة NetScaler مكشوفة ورقم إصدارها — وهل الجهاز منتهي الدعم.

في هذه الصفحة

يُفترض في المصادقة متعددة العوامل¹ أن تكون خطّ الدفاع الأخير: فحتى لو تسرّبت كلمة المرور، يصمد العامل الثاني. و CitrixBleed 2 هي قصة ثغرة جرّدت ذلك الخطّ من قيمته — لا بهزيمة المصادقة، بل بسرقة الجلسة بعد أن يكون المستخدم قد اجتازها أصلاً.

تسريب، لا اقتحام

في 17 يونيو 2025، كشفت Citrix عن CVE-2025-5777 في NetScaler ADC و Gateway. والثغرة قراءة ذاكرة خارج الحدود: فحين يُضبَط الجهاز بوابةً أو خادم مصادقة افتراضياً، يدفع طلبٌ مشوَّه محلّلاً خلفياً إلى أن يُعيد جزءاً من ذاكرة غير مُهيّأة ما كان له أن يكشفه قط. وبتنقيب ما يكفي من تلك الأجزاء، تجد رموز الجلسات — وهي الاعتماد الذي يستلمه المستخدم بعد تسجيل الدخول وإتمام المصادقة متعددة العوامل. أعِد تشغيل رمز مسروق، فتصير ذلك المستخدم بعينه، بالعامل الثاني وكل شيء. وعرف الباحثون الشكل فوراً: إنها فئة الثغرة نفسها التي في CitrixBleed الأصلية لعام 2023 (CVE-2023-4966) التي غذّت موجة فدية، ولهذا سُمّيت هذه CitrixBleed 2.

وتلتقط درجات الخطورة كيف يتجادل القطاع حول هذه الأمور: قيّمتها Citrix بـ 9.3 على CVSS v4.0، بينما جاءت درجة NIST على v3.1 عند 7.5. ولم ينتظر المهاجمون أن تحسم اللجنة الخلاف.

بداية بأحد عشر يوماً

هذه هي التفصيلة التي ينبغي أن تغيّر تفكيرك في الأجهزة المكشوفة. رصدت GreyNoise استغلالاً في البريّة بدأ في 23 يونيو 2025 — أي قبل نحو أحد عشر يوماً من وجود إثبات مفهوم علني (نشرت watchTowr في 4 يوليو، و Horizon3.ai في 7 يوليو). وأضافت CISA الثغرة إلى فهرس الثغرات المُستغَلّة المعروفة في 10 يوليو.

بعبارة أخرى، كان المهاجمون يستنزفون رموز الجلسات من أجهزة حقيقية بينما كان بقيّة العالم لا يزال ينتظر أن يصبح الاستغلال “حقيقياً”. وأبلغت Imperva لاحقاً عن رصد أكثر من 11.5 مليون محاولة استغلال، نحو 40% منها موجَّه للخدمات المالية. ووثّق الباحث الأمني Kevin Beaumont، الذي أطلق على الثغرة اسمها، ما لا يقلّ عن 100 مؤسسة مُخترَقة عبر التعليم والمال والحكومة والقانون والاتصالات. وحتى منتصف يوليو، كانت Shadowserver لا تزال تَعُدّ آلاف الأجهزة غير المرقّعة، فيما وضعت Censys إجمالي أنظمة NetScaler المكشوفة على الإنترنت قرب 70,000.

النمط الذي لا يريد أحد رؤيته

لم تكن CitrixBleed 2 شذوذاً في 2025؛ كانت نوعاً أدبياً قائماً بذاته. فالعام نفسه قدّم:

Cisco ASA/FTD “ArcaneDoor” (CVE-2025-20333 و CVE-2025-20362)، خطيرةً إلى حدّ دفع CISA لإصدار توجيه طارئ في سبتمبر 2025 بمهلة نحو 24 ساعة؛ وعدّت Shadowserver نحو 48,000 جدار حماية مكشوف ومُعرَّض، بعضها على عتاد منتهي الدعم عدّل فيه المهاجمون الذاكرة الثابتة² للبقاء عبر إعادة التشغيل وترقيات البرامج الثابتة.
Ivanti Connect Secure (CVE-2025-0282)، استُغِلّت ثغرةَ يوم صفر منذ ديسمبر 2024 — ثم تتمّةٌ (CVE-2025-22457) بُنِيت بعكس هندسة رقعة Ivanti نفسها. وكان سجلّ النطاقات البريطاني Nominet من بين الضحايا المسمّين.
Cleo لنقل الملفات المُدار (CVE-2024-50623 و CVE-2024-55956)، محرّك موجة ابتزاز من Clop سمّت مئات الشركات، حتى إن Hertz وحدها أخطرت ما يقارب مليون شخص.

أربعة موردين مختلفين، وحمضٌ نوويٌّ مشترك واحد: واجهة إدارة أو شبكة افتراضية خاصة³ أو نقل ملفات تواجه الإنترنت، تُبصَم على مقياس واسع، ثم تُضرَب قبل أن يفرغ معظم المدافعين من قراءة النشرة.

ماذا كان المنظور الخارجي سيُظهِر

لم تتطلّب أيٌّ من هذه الحملات استطلاعاً ذكياً؛ أحصى المهاجمون الأسطح نفسها التي يستطيع المدافع رؤيتها مجاناً. ومن الخارج، يستطيع فحص غير تطفّليٍّ أن يُبرز الشروط المسبقة دون أن يُرسِل أي استغلال:

الواجهة المكشوفة نفسها. بوابات NetScaler Gateway، و WebVPN عديمة العميل من Cisco، وصفحة /dana-na/ من Ivanti، وخدمة نقل الملفات من Cleo — كلٌّ منها يُعرَف من صفحة دخوله، ومساراته الافتراضية، واستجابات HTTP، وشهادة النقل⁴ لديه. وواجهة إدارة تواجه الإنترنت العام هي نتيجةٌ قبل أن يُربَط بها أي CVE.
النسخة. كثير من هذه الأجهزة يُسرّب رقم بنائه في استجاباته أو في كعكات تعريفه أو في صفحات أخطائه، وتحليل ذلك يخبرك هل الجهاز يُشغّل إصداراً معروف الضعف.
دورة الحياة. الأجهزة الأشدّ تضرّراً كانت مراراً منتهية الدعم — عتاد Cisco ASA القديم، و NetScaler 12.1 و 13.0 المنتهيان. وجهازٌ مكشوف لم يعد المورد يدعمه هو نتيجةٌ حرجةٌ بذاتها، إذ لا رقعة قادمة له.

والدرس غير المريح لعام 2025 أن “سنرقّع حين يصبح الاستغلال علنياً” استراتيجيةٌ خاسرة حين يسبق الاستغلالُ نظيرَه العلنيَّ بأحد عشر يوماً. ومعرفة ما كشفتَه — وكم هو قديم — هي الجزء الذي تملك زمامه. وهذا بالضبط ما تُوجَد له مراجعة سطح الهجوم الخارجي، من نوع ما يُبنى نحوه زمام. راجع ما هي إدارة سطح الهجوم الخارجي؟ للصورة الأكبر.

المصادر

NIST NVD، CVE-2025-5777: https://nvd.nist.gov/vuln/detail/CVE-2025-5777
GreyNoise، “Exploitation of CitrixBleed 2 before public PoC”: https://www.greynoise.io/blog/exploitation-citrixbleed-2-cve-2025-5777-before-public-poc
SecurityWeek، “CitrixBleed 2: 100 organizations hacked, thousands of instances still vulnerable”: https://www.securityweek.com/citrixbleed-2-100-organizations-hacked-thousands-of-instances-still-vulnerable/
Imperva، “CVE-2025-5777 exposes Citrix NetScaler to dangerous memory leak attacks”: https://www.imperva.com/blog/cve-2025-5777-exposes-citrix-netscaler-to-dangerous-memory-leak-attacks/
CISA Emergency Directive ED 25-03 (Cisco ASA/FTD): https://www.cisa.gov/news-events/directives/ed-25-03-identify-and-mitigate-potential-compromise-cisco-devices
Rapid7، “CVE-2025-0282 Ivanti Connect Secure zero-day exploited in the wild”: https://www.rapid7.com/blog/post/2025/01/08/etr-cve-2025-0282-ivanti-connect-secure-zero-day-exploited-in-the-wild/

الهامش

MFA — Multi-Factor Authentication، المصادقة متعددة العوامل. ↩︎
ROM — Read-Only Memory، ذاكرة القراءة فقط (الذاكرة الثابتة). ↩︎
VPN — Virtual Private Network، الشبكة الافتراضية الخاصة. ↩︎
TLS — Transport Layer Security، بروتوكول أمان طبقة النقل. ↩︎