بررسی جزئیات خطرناک نقص Citrix Bleed ۲: چگونه مهاجمان می‌توانند توکن‌های SSO را بدزدند؟

آسیب‌پذیری جدیدی با نام Citrix Bleed 2 کشف شده است که مهاجمان را قادر می‌سازد بدون احراز هویت وارد سیستم شوند و با سرقت توکن‌های SSO، کنترل کامل برخی زیرساخت‌های سازمانی را در دست گیرند. این نقص به دلیل نشت داده از حافظه سرور رخ می‌دهد و شباهت زیادی به آسیب‌پذیری‌های معروفی مانند Heartbleed دارد. به‌روزرسانی سریع سیستم‌ها حیاتی است.

آسیب‌پذیری جدیدی تحت عنوان “Citrix Bleed 2” در برخی از نسخه‌های آسیب‌پذیر NetScaler ADC و Gateway شرکت Citrix کشف شده که به مهاجمان اجازه می‌دهد با استفاده از نشت اطلاعات از حافظه، توکن‌های احراز هویت (SSO) را استخراج کرده و از آن برای دسترسی غیرمجاز به حساب کاربران استفاده کنند.

مهاجم تنها با ارسال درخواست‌های طراحی‌شده و بررسی پاسخ‌هایی که نشت داده دارند، می‌تواند به اطلاعات حساسی مانند توکن‌های فعال کاربران واقعی دست پیدا کند. این آسیب‌پذیری به طور خاص مشابه نقص معروف Heartbleed عمل می‌کند که در سال ۲۰۱۴ موجب افشای کلیدهای رمزنگاری شد.

با بهره‌برداری از این نقص، مهاجمان می‌توانند بدون نیاز به نام کاربری و رمز عبور، وارد محیط‌های مدیریتی یا اپلیکیشن‌های داخلی سازمان شوند. چنین دسترسی‌ای می‌تواند شامل پیکربندی سرویس‌ها، انتقال فایل‌ها، یا حتی اجرای دستورات از راه دور شود.

Citrix با انتشار یک بولتن امنیتی رسمی این موضوع را تأیید کرده و به کاربران هشدار داده است که نسخه‌های قدیمی را فوراً به‌روزرسانی کنند. این شرکت نسخه‌های وصله‌شده را منتشر کرده است و در عین حال به سازمان‌ها توصیه کرده گزارش‌های دسترسی را بررسی کنند تا هرگونه سوءاستفاده احتمالی شناسایی شود.

در نهایت، پیشنهاد می‌شود که تمام سازمان‌ها علاوه بر به‌روزرسانی فوری، اقدامات امنیتی مانند فعال‌سازی احراز هویت چندمرحله‌ای (MFA)، بررسی لاگ‌های نشست کاربران، و کاهش دسترسی‌های غیرضروری را اجرا کنند تا از نفوذهای آتی جلوگیری شود.

منابع :

• The News Hack
• Citrix