ما الذي تكشفه Citrix Bleed 2 فعلياً
Citrix Bleed 2، المُتتبَّعة تحت CVE-2025-5777، هي خلل في أمان الذاكرة داخل الأجهزة التي تستخدمها كثير من المؤسسات كبوابة أمامية مواجهة للإنترنت: Citrix NetScaler ADC وNetScaler Gateway. وفقاً لتقرير BleepingComputer، الثغرة هي قراءة ذاكرة خارج الحدود تتيح لمهاجم غير مُصادَق عليه سحب بيانات من مناطق ذاكرة مقيّدة في الجهاز — دون الحاجة إلى تسجيل دخول صالح. عملياً، يمكن أن تحتوي تلك الذاكرة المُسرَّبة على رموز جلسات مستخدمين نشطة.
الاسم مقصود. فهو يردّد صدى “Citrix Bleed” الأصلية (CVE-2023-4966) من عام 2023، التي جرى تسليحها على نطاق واسع ضد أهداف في قطاعي الصحة والمال حول العالم. تتّبع نسخة 2025 المخطط نفسه: قراءة ذاكرة لا ينبغي أن تكون قادراً على قراءتها، وكشط أي مادة جلسة تصادف وجودها هناك، وإعادة استخدامها.
الإصدارات المتأثرة محددة بدقة. الأجهزة معرّضة للخطر على الإصدارات الأقدم من 14.1-43.56، والأقدم من 13.1-58.32، وعلى إصدارات FIPS وNDcPP الأقدم من 13.1-37.235-FIPS/NDcPP و12.1-55.328-FIPS/NDcPP. نشرة الأمان CTX693420 من Citrix توثّق الإصدارات المصحَّحة وخطوات المعالجة. فقط الأجهزة المُهيّأة كـ Gateway (خادم VPN افتراضي، ICA Proxy، CVPN، RDP Proxy) أو كخادم مصادقة AAA افتراضي هي المعرّضة — لكن هذه التهيئة تصف تحديداً دور الوصول عن بُعد الذي تنشر معظم المؤسسات NetScaler لأجله.
التوقيت مهم هنا. أصدرت Citrix الإصلاح في 17 يونيو 2025. وخلال نحو عشرة أيام، أبلغت شركة الأمن ReliaQuest عن مؤشرات استغلال في البيئة الحقيقية، وتبع ذلك إثبات مفهوم علني في أوائل يوليو. في 10 يوليو 2025، أضافت CISA الثغرة CVE-2025-5777 إلى كتالوج الثغرات المستغَلة المعروفة ومنحت الوكالات الفيدرالية يوماً واحداً فقط للمعالجة — نافذة قصيرة بشكل غير معتاد تشير إلى مدى جدّية تقييم الوكالة للمخاطر.
لماذا يتجاوز رمز الجلسة المسروق المصادقة متعددة العوامل مباشرة
سبب خطورة هذه الثغرة بما يفوق وصفها كـ”قراءة ذاكرة” يكمن في ما تمثّله تلك البايتات. رمز الجلسة هو دليل على أن المستخدم قد صادَق بالفعل. إذا سرق مهاجم رمزاً صالحاً من ذاكرة الجهاز، فبإمكانه إعادة تشغيله ووراثة تلك الجلسة — بما في ذلك أي مصادقة متعددة العوامل جرى استيفاؤها عند بدء الجلسة. لا تظهر مطالبة MFA مرة ثانية أبداً، لأن الجلسة من منظور البوابة موثوقة بالفعل.
هذا ليس افتراضياً. تحليل Arctic Wolf لحملة برنامج الفدية Anubis يصف هذه السلسلة تماماً: استخرج الفاعلون المهدِّدون مادة جلسة من أجهزة NetScaler المكشوفة، واستخدموا الرموز المستردَّة لتجاوز MFA، وأرسوا موطئ قدم من عناوين IP عامة مرتبطة بمزوّدي استضافة VPS. ثم نشرت مجموعة Anubis — التي ظهرت علناً نحو 23 فبراير 2025 — أداة cloudflared (عميل النفق من Cloudflare) لبناء قنوات خروج خفية، وأضافت أدوات إدارة عن بُعد مشروعة مثل ScreenConnect وZoho Assist وMeshAgent، وشغّلت Mimikatz لحصاد بيانات الاعتماد، واستخدمت rclone وs5cmd وS3 Browser لتسريب البيانات قبل التشفير.
ناقشت مجموعات برامج الفدية الثغرة علناً على منتديات القراصنة، وفقاً لـThe Hacker News، وهو النمط الذي يحوّل ثغرة CVE واحدة مُفصَح عنها إلى مسار اختراق شائع. بالنسبة لبنك أو مشغّل اتصالات أو مؤسسة كبيرة، فإن التسلسل — سرقة الرمز، تجاوز MFA، النفق، استخراج بيانات الاعتماد، التسريب — يشكّل اختراقاً كاملاً، لا نجاةً بأعجوبة. ولأن نقطة الدخول جهاز موجود على الإنترنت العام بحكم التصميم، فإن الجغرافيا لا توفّر أي حماية: جهاز في الجزائر العاصمة قابل للوصول تماماً كجهاز في فرانكفورت.
إعلان
ما الذي ينبغي على فرق تقنية المعلومات والأمن الجزائرية فعله هذا الأسبوع
هذه إرشادات استباقية. لا شيء هنا يزعم أن مؤسسة جزائرية بعينها مخترَقة — الفكرة هي أن NetScaler منتج وصول عن بُعد واسع الانتشار، وأن الثغرة تُستغَل بنشاط عالمياً، وأن الخطوات الدفاعية رخيصة مقارنةً بالخسائر المحتملة. إليك التسلسل الملموس لأي فريق يشغّل NetScaler ADC أو Gateway.
1. احصر كل جهاز NetScaler وأكّد رقم إصداره اليوم
قبل أي شيء، أجب عن سؤال واحد بيقين: كم عدد نُسخ NetScaler التي نشغّلها، وعلى أي إصدار يعمل كلٌّ منها؟ تحقّق من بيئة الإنتاج وأي جهاز اختبار أو تعافٍ من الكوارث (DR) أو شركة تابعة مُستحوَذ عليها ومنسيّ — البوابات الخفية هي الطريقة التي تفوّت بها برامج التصحيح الجهاز الوحيد المهم. سجّل سلسلة البرنامج الثابت الدقيقة (مثل 13.1-55.x) مقابل العتبات المصحَّحة: 14.1-43.56، 13.1-58.32، 13.1-37.235-FIPS/NDcPP، 12.1-55.328-FIPS/NDcPP. أي إصدار أدنى من نطاقه معرّض للخطر. لا تعتمد على “نظن أننا صحّحنا في يونيو” — تحقّق من الإصدار العامل على الجهاز نفسه، لأن التصحيح المجدوَل الذي فشل بصمت يبدو مطابقاً للتصحيح الناجح حتى تتحقق منه.
2. صحّح إلى الإصدارات المصحَّحة — وتخلَّص من الإصدارات المنتهية العمر بدل معالجتها المؤقتة
رقِّ كل جهاز معرّض للخطر إلى الإصدار المصحَّح لفرعه، متّبعاً مسار الترقية في النشرة CTX693420. إذا كان أي جهاز على NetScaler 12.1 أو 13.0 غير FIPS — وهي فروع نقلتها Citrix إلى نهاية العمر — فلن يصدر أي تصحيح؛ والحل هو الانتقال إلى فرع مدعوم (13.1 أو 14.1). جدوِل نافذة الصيانة الآن بدل انتظار أسبوع “أهدأ”، لأن نافذة الاستغلال مفتوحة بالفعل. بالنسبة لأزواج التوافر العالي، صحّح وتحقّق من الجهاز الثانوي أولاً، ثم بدّل التحويل، ثم صحّح الأساسي، كي تظل البوابة تعمل طوال الوقت.
3. أنهِ كل جلسة ICA وPCoIP نشطة بعد الترقيع — التصحيح وحده لا يكفي
هذه هي الخطوة التي تتخطاها الفرق، وهي التي تحسم ما إذا كان الترقيع قد أغلق الباب فعلاً. لأن الثغرة تُسرّب رموز جلسات نشطة، فإن أي رمز سُرِق قبل الترقيع يبقى صالحاً بعده — التصحيح يوقف التسريبات الجديدة لكنه لا يُبطل الرموز المسرَّبة بالفعل. توجيه Citrix صريح: بعد الترقية، شغّل kill icaconnection -all وkill pcoipConnection -all لإنهاء جميع جلسات ICA وPCoIP النشطة، مُجبراً كل مستخدم على إعادة المصادقة. عامِل الجهاز المصحَّح الذي لم تُنهَ جلساته على أنه لا يزال مخترَقاً محتملاً.
4. اصطَد أثر ما بعد الاستغلال، لا الثغرة وحدها
الترقيع يزيل الثغرة؛ لكنه لا يزيل مهاجماً استغلها بالفعل. راجع سجلات NetScaler بحثاً عن شذوذ في المصادقة — الحساب نفسه يظهر من عنوان IP مؤسسي عادي ومن عنوان مُستضاف على VPS، أو جلسات بعناوين مصدر غير متطابقة، أو تسجيلات دخول خارج ساعات العمل. على الشبكة الداخلية، ابحث عن توقيعات مجموعة أدوات Anubis التي وثّقتها Arctic Wolf: عمليات cloudflared غير متوقّعة، وكلاء RMM غير مصرَّح بهم (ScreenConnect، Zoho Assist، MeshAgent)، آثار Mimikatz، وأدوات نقل جماعي مثل rclone أو s5cmd تصل إلى التخزين السحابي. عدم العثور على أي منها مطمئن؛ لكن افتراض عدم وجودها دون البحث هو ما يمدّد زمن البقاء إلى شهور.
5. جدّد بيانات الاعتماد والأسرار التي قد تكون البوابة كشفتها
إذا كان هناك أي دليل — أو شك معقول — على أن جهازاً كان قابلاً للوصول خلال نافذة الاستغلال، فعامِل الأسرار المرتبطة به على أنها محروقة. جدّد كلمات مرور حسابات الخدمة، وأعِد تعيين أي بيانات اعتماد مرّت عبر البوابة، وأعِد إصدار مفاتيح توقيع الجلسات حيثما ينطبق. بالنسبة للمؤسسات الخاضعة للتنظيم، وثّق التقييم والجدول الزمني للمعالجة؛ فسجلّ نظيف ومؤرَّخ يقول “اكتُشِف، صُحِّح، أُنهيت الجلسات، جُدِّدت بيانات الاعتماد” هو تحديداً ما سيطلبه مدقّق أو منظِّم لاحقاً.
أين يقع هذا ضمن الموقف الأمني الجزائري لعام 2026
Citrix Bleed 2 مثال واضح على فئة المخاطر التي ستحدّد دفاع المؤسسات في 2026: الجهاز المواجه للإنترنت باعتباره الهدف الأعلى قيمة. مركّزات VPN والبوابات وأجهزة الأمن الطرفية جذّابة تحديداً لأنها موثوقة وقابلة للوصول وغالباً غير مُراقَبة بما يكفي — تُصحّح المؤسسات الحواسيب المحمولة كل أسبوعين لكنها تترك جهاز NetScaler دون مساس لعام كامل لأنه “يعمل بلا مشاكل”. الدرس ليس خاصاً بـ Citrix. كل جهاز طرفي — من أي مورّد — يستحق الانضباط نفسه: حصر إصدارات معروف، واتفاقية مستوى خدمة للترقيع سريعة تُقاس بالأيام للثغرات المستغَلة، ونظافة جلسات بعد كل تحديث، ومراقبة سجلات تكشف فعلاً إعادة تشغيل رمز.
بالنسبة للبنوك ومشغّلي الاتصالات والمؤسسات الكبيرة الجزائرية التي تبني نضجاً أكبر في خدماتها الرقمية، هذه فرصة لترسيخ سرعة ترقيع الأجهزة الطرفية ضمن إجراءات التشغيل المعيارية الآن، بينما المثال حاضر. مهلة اليوم الواحد من CISA هي معيار جهة تنظيمية أجنبية، لا تكليف محلي — لكنها مقياس مفيد لما ينبغي أن تعنيه كلمة “عاجل” داخلياً. الفرق القادرة على الحصر والترقيع وإنهاء الجلسات والصيد خلال أسبوع هي فرق حوّلت الهرولة إلى دليل قابل للتكرار. هذه القدرة، أكثر من أي تصحيح مفرد، هي المكسب الدائم.
الأسئلة الشائعة
هل يحمينا الترقيع وحده من Citrix Bleed 2؟
لا. التصحيح يمنع الجهاز من تسريب رموز جلسات جديدة، لكن أي رمز سُرِق قبل الترقيع يبقى صالحاً. لهذا السبب يتطلّب توجيه Citrix إنهاء جميع جلسات ICA وPCoIP النشطة (kill icaconnection -all وkill pcoipConnection -all) بعد الترقية — فهذا يفرض إعادة المصادقة ويُبطل أي جلسة قد يكون مهاجم اختطفها. رقّع دون إنهاء الجلسات وقد تترك الباب مفتوحاً.
نستخدم MFA على VPN لدينا — هل نحن في أمان؟
ليس وحدها. CVE-2025-5777 خطيرة تحديداً لأنها تهزم MFA: بسرقة رمز جلسة نشط من ذاكرة الجهاز، يرث المهاجم جلسة اجتازت المصادقة بالفعل، فلا يتكرّر تحدّي MFA أبداً. تظل MFA دفاعاً معمّقاً أساسياً، لكن ضد هذه الثغرة تحديداً تكون الحماية هي الترقيع وإنهاء الجلسات ومراقبة إعادة تشغيل الرموز — لا مطالبة MFA.
كيف نعرف إن كنا قد استُغللنا بالفعل قبل الترقيع؟
ابحث عن أثر ما بعد الاستغلال بدل الثغرة نفسها. راجع سجلات مصادقة NetScaler بحثاً عن الحساب نفسه يظهر من عنوان IP عادي ومن عنوان مُستضاف على VPS في آن، وعن جلسات بعناوين مصدر غير متطابقة. على المضيفين الداخليين، اصطَد أنفاق cloudflared، ووكلاء الإدارة عن بُعد غير المصرَّح بهم مثل ScreenConnect أو MeshAgent، وآثار Mimikatz، وأدوات نقل البيانات الجماعي مثل rclone التي تصل إلى التخزين السحابي — مجموعة الأدوات التي وثّقتها Arctic Wolf في حملة Anubis.
المصادر والقراءات الإضافية
- CISA Tags Citrix Bleed 2 as Exploited, Gives Agencies a Day to Patch — BleepingComputer
- CitrixBleed 2 to Cloudflared: The Tools and Techniques Behind Anubis Ransomware Attacks — Arctic Wolf
- Ransomware Groups Turn to Citrix Bleed 2 Flaw — The Hacker News
- NetScaler ADC and NetScaler Gateway Security Bulletin (CTX693420) — Citrix
- Known Exploited Vulnerabilities Catalog — CISA














