NetScaler गेटवे के लिए गंभीर CitrixBleed भेद्यता का सक्रिय शोषण, तत्काल सुरक्षा पैच की आवश्यकता
TL;DR
NetScaler गेटवे के लिए गंभीर CitrixBleed भेद्यता का सक्रिय शोषण, तत्काल सुरक्षा पैच की आवश्यकता
यदि आप Citrix NetScaler ADC या गेटवे उपकरणों का उपयोग कर रहे हैं, तो अभी जो कर रहे हैं उसे रोकें और अपने पैच लॉग की जांच करें। अभी। हम दो गंभीर भेद्यताओं—CVE-2026-8451 और पुरानी लेकिन अभी भी खतरनाक, CVE-2025-5777—के एक घातक संयोजन का सामना कर रहे हैं, जिनका वर्तमान में खतरा फैलाने वाले (threat actors) सक्रिय रूप से लाभ उठा रहे हैं। ये केवल सैद्धांतिक जोखिम नहीं हैं; इनका उपयोग प्रमाणीकरण को बायपास करने और सत्रों (sessions) को हाईजैक करने के लिए किया जा रहा है, और CISA ने इन्हें पहले ही अपनी 'ज्ञात शोषित भेद्यता' (Known Exploited Vulnerabilities - KEV) सूची में शामिल कर लिया है।
समस्या की जड़ क्या है? ये उपकरण मेमोरी को छलनी की तरह लीक कर रहे हैं। बिना प्रमाणीकरण वाले हमलावर सीधे मेमोरी से संवेदनशील डेटा—सत्र टोकन, MFA क्रेडेंशियल्स, आदि—चुरा रहे हैं। उन्हें पासवर्ड की आवश्यकता नहीं है। उन्हें किसी निमंत्रण की आवश्यकता नहीं है। उन्हें बस सही एंडपॉइंट को हिट करने की आवश्यकता है, और उपकरण उन्हें सब कुछ सौंप देता है।
उल्लंघन का विश्लेषण: CVE-2025-5777 और CVE-2026-8451
आइए "CitrixBleed 2" या CVE-2025-5777 के बारे में बात करते हैं। यह खतरनाक है क्योंकि यह बहुत सरल है। /p/u/doAuthentication.do पर एक अधूरा POST अनुरोध भेजकर, एक हमलावर प्रति अनुरोध 127 बाइट्स मेमोरी चुरा सकता है। यह सुनने में छोटा लगता है, लेकिन यह SAML StateContext और सक्रिय सत्र टोकन को चुराने के लिए पर्याप्त है। Splunk Research जून 2025 के मध्य से इस पर नज़र रख रहा है, और उन्होंने नोट किया है कि हमलावर बड़े पैमाने पर काम करने के लिए HeadlessChrome जैसी स्वचालित स्क्रिप्ट का उपयोग कर रहे हैं।
फिर एक नई समस्या है: CVE-2026-8451। यह 8.8 के CVSS स्कोर के साथ एक प्री-ऑथेंटिकेशन मेमोरी-ओवररीड दोष है। यह SAML पार्सर को लक्षित करता है, विशेष रूप से NSC_TASS कुकी के साथ छेड़छाड़ करता है। जैसा कि Tech Insider ने बताया, यहाँ हथियार बनाने की गति भयावह थी—हनीपॉट्स ने 30 जून, 2026 को भेद्यता सार्वजनिक होने के 24 घंटों के भीतर ही शोषण के प्रयास पकड़ लिए थे।
प्रभाव और शमन: आपको क्या करने की आवश्यकता है
चूंकि ये दोष प्रमाणीकरण से पहले हिट करते हैं, इसलिए आपकी मानक परिधि सुरक्षा (perimeter defenses) प्रभावी रूप से अंधी है। आप केवल फ़ायरवॉल लगाकर इससे नहीं बच सकते। खतरे का विवरण यहाँ दिया गया है:
| भेद्यता आईडी | प्राथमिक वेक्टर | प्रभाव |
|---|---|---|
| CVE-2025-5777 | /p/u/doAuthentication.do |
सत्र टोकन/MFA चोरी |
| CVE-2026-8451 | SAML पार्सर (NSC_TASS) | मेमोरी-ओवररीड/डेटा रिसाव |
यदि आप अपने नेटवर्क को सुरक्षित रखना चाहते हैं, तो आपको तेजी से आगे बढ़ना होगा। यहाँ आपकी चेकलिस्ट है:
- पैच, पैच, पैच: सप्ताहांत का इंतज़ार न करें। 30 जून, 2026 को Citrix द्वारा जारी आपातकालीन अपडेट लागू करें। यहाँ कोई बीच का रास्ता नहीं है; यदि आप पैच नहीं करते हैं, तो आप असुरक्षित हैं।
- सत्र समाप्त करें: यह वह हिस्सा है जिसे लोग भूल जाते हैं। भले ही आप छेद को पैच कर दें, हमलावर पहले से ही चोरी किए गए टोकन के साथ अंदर हो सकता है। किसी भी अनधिकृत पहुंच को बाहर निकालने के लिए आपको सभी सक्रिय सत्रों को विश्व स्तर पर समाप्त करना होगा।
- अजीब गतिविधियों की तलाश करें: इन कारनामों द्वारा छोड़े गए विशिष्ट टेलीमेट्री की तलाश के लिए Splunk Research की नेटवर्क मॉनिटरिंग गाइड का उपयोग करें।
- अपने लॉग का ऑडिट करें: अधूरे POST अनुरोधों या HTTP प्रतिक्रियाओं की तलाश करें जो संदिग्ध रूप से बड़ी लगती हैं। ये मेमोरी-ओवररीड हमले के स्पष्ट संकेत हैं।
वृद्धि चक्र
हमने यह फिल्म पहले भी देखी है। सुरक्षा शोधकर्ता 2026 की शुरुआत से ही चेतावनी दे रहे हैं कि NetScaler की खामियां बड़े पैमाने पर शोषण की लहरों के लिए खतरे की घंटी हैं। जिस क्षण एक प्रूफ-ऑफ-कांसेप्ट (PoC) सार्वजनिक होता है, दरवाजे खुल जाते हैं। स्वचालित, अवसरवादी हमले लगभग तुरंत शुरू हो जाते हैं, जो एक "गंभीर भेद्यता" को रातों-रात एक "पूर्ण घटना" में बदल देते हैं।
CISA द्वारा इन्हें चिह्नित करना संघीय और निजी दोनों क्षेत्रों के लिए एक बड़ा चेतावनी संकेत है। ऐसा कोई "वर्कअराउंड" नहीं है जो आपको अपने बुनियादी ढांचे को जोखिम में डाले बिना काम जारी रखने दे। आपको पैच करना ही होगा। यदि आप ऐसा नहीं करते हैं, तो आप हमलावरों के लिए अपने MFA को बायपास करने और अपने नेटवर्क में स्थायी पकड़ बनाए रखने का रास्ता खुला छोड़ रहे हैं।
यदि आपको संदेह है कि आप पहले ही प्रभावित हो चुके हैं, तो घबराएं नहीं—बस व्यवस्थित हो जाएं। Splunk Research का वेब-आधारित डिटेक्शन मार्गदर्शन इन हमलों में उपयोग की जाने वाली विशिष्ट HTTP अनुरोध संरचनाओं की पहचान करने के लिए एक उत्कृष्ट संसाधन है। उस डेटा को अपने SIEM में डालें और देखें कि क्या कुछ गलत लग रहा है।
दिन के अंत में, ये उपकरण आपके सबसे संवेदनशील संसाधनों का मुख्य द्वार हैं। जब दरवाजे का ताला टूटा हो, तो आप केवल "कृपया प्रवेश न करें" का बोर्ड नहीं लगाते—आप ताला ठीक करते हैं। पैचिंग ही दरवाजा बंद करने का एकमात्र तरीका है, और सत्र अमान्यीकरण यह सुनिश्चित करने का एकमात्र तरीका है कि वर्तमान में अंदर मौजूद घुसपैठियों को बाहर निकाला जाए। सतर्क रहें, अपडेट रहें, और यह न मानें कि आप सुरक्षित हैं जब तक कि पैच सत्यापित न हो जाएं और सत्र समाप्त न हो जाएं।