មជ្ឈមណ្ឌលសន្តិសុខសាយប័រជាតិ Netherland (NCSC) កំពុងតែព្រមានពី ភាពងាយរងគ្រោះ Citrix NetScaler ដ៏សំខាន់មួយឈ្មោះ CVE-2025-6543 ត្រូវបានកេងចំណេញដើម្បីបំពានលើ “ស្ថាប័នសំខាន់ៗ” នៅក្នុងប្រទេស។
បញ្ហាដ៏សំខាន់គឺជាកំហុសនៃលំហូរដ៏គំហុកអង្គចងចាំ ដែលអនុញ្ញាតឱ្យមានលំហូរនៃការគ្រប់គ្រង (Compromise) ដោយអចេតនា ឬការបដិសេធនៃសេវារដ្ឋលើឧបករណ៍ដែលរងគ្រោះ។ ការណែនាំរបស់ Citrix បានពន្យល់ថា ភាពងាយរងគ្រោះនៃលំហូរដ៏គំហុកអង្គចងចាំកំពុងតែនាំទៅរកលំហូរការគ្រប់គ្រងដោយអចេតនា (Unintended Control Flow) និងការជាប់គាំងសេវា (Denial of Service) នៅក្នុង NetScaler ADC និង NetScaler Gateway នៅពេលកំណត់រចនាសម្ព័ន្ធជា Gateway (VPN Virtual Server, ICA Proxy, CVPN, RDP Proxy) ឬ AAA Virtual Server។
Citrix បានបញ្ចេញព្រឹត្តិបត្រអំពីបញ្ហាកាលពីថ្ងៃទី២៥ ខែមិថុនា ឆ្នាំ២០២៥ ដែលព្រមានថា ជំនាន់ខាងក្រោមនេះគឺងាយរងគ្រោះនឹងការវាយប្រហារដែលកំពុងតែកើតមាន៖
- 1 មុន 14.1-47.46
- 1 មុន 13.1-59.19
- 1-FIPS និង 13.1-NDcPP មុន 13.1-37.236
- 1 និង 13.0 → ឈប់ប្រើហើយ ប៉ុន្តែនៅងាយរងគ្រោះ (ពុំមានការជួសជុលផ្តល់ជូនទេ សូមធ្វើការ Upgrade ទៅជំនាន់ចុងក្រោយដែលបានណែនាំ)។
ដំបូងបញ្ហាត្រូវបានគិតថា ត្រូវបានកេងចំណេញនៅក្នុងការវាយប្រហារ Denial of Service (DoS) ហើយការព្រមានរបស់ NCSC ឥឡូវនេះបង្ហាញថា អ្នកវាយប្រហារបានកេងចំណេញលើវាដើម្បីទទួលបានការបញ្ជាកូដពីចម្ងាយ។
ការព្រមានរបស់ NCSC អំពីបញ្ហា CVE-2025-6543 បានបញ្ជាក់ថា ហេគឃ័របានប្រើបញ្ហានេះដើម្បីបំពានលើស្ថាប័នចម្រុះនៅក្នុងប្រទេស ហើយបន្ទាប់មកលុបដាននៃការវាយប្រហារចេញដើម្បីលុបភស្តុតាងនៃការលួចចូលទន្រ្ទាន។ ជាក់ស្តែងយោងតាមកំណត់ត្រាបានបង្ហាញថា NCSC បានកំណត់ថា ស្ថាប័នសំខាន់ៗចម្រុះនៅ Netherland ត្រូវបានវាយប្រហារដោយជោគជ័យតាមរយៈភាពងាយរងគ្រោះ CVE-2025-6543 នៅក្នុង Citrix NetScaler។ NCSC បានវាយតម្លៃលើការវាយប្រហារនេះថា ជាការងាររបស់បុគ្គលម្នាក់ ឬច្រើននាក់ដែលមាន Modus Operandi ឈានមុខ។ ភាពងាយរងគ្រោះត្រូវបានកេងចំណេញជា Zero-day ហើយដាននៃការលួចចូលដ៏សកម្មត្រូវបានលុបចេញ ដើម្បីលាក់បាំងអំពីការគ្រប់គ្រងលើស្ថាប័នដែលរងគ្រោះ។
ការកេងចំណេញលើ Zero-day៖ យោងតាម NCSC បានឱ្យដឹងថា ការវាយប្រហារបានកើតឡើងតាំងពីដើមខែឧសភា មុនពេល Citrix បានលាតត្រដាងនៅលើព្រឹត្តិបត្ររបស់ខ្លួន និងបានផ្តល់ជា Patch ជូសជុល ដូច្នេះពួកគេត្រូវបានកេងចំណេញជា Zero-days សម្រាប់រយៈពេលមួយដ៏យូរមកហើយ។ បើទោះជា ភ្នាក់ងាមិនបានប្រាប់ឈ្មោះស្ថាប័នដែលរងផលប៉ះពាល់ក្តី Opernbaar Ministerie (OM) ដែលជាសេវាអយ្យការសាធារណៈនៃប្រទេស Netherlands បានលាតត្រដាងពីការគ្រប់គ្រង (Compromise) មួយកាលពីថ្ងៃទី១៨ ខែកក្កដា ដែលកត់សម្គាល់ពីការរកឃើញការលួចចូលបន្ទាប់ពីទទួលបានសារដាស់តឿន NCSC។ ស្ថាប័ននេះបានរងគ្រោះដោយសារការរំខានលើប្រតិបត្តិការដ៏ធ្ងន់ធ្ងរជាលទ្ធផល ហើយចុងក្រោយបានត្រលប់ទៅដំណើរការអនឡាញវិញ បន្ទាប់ពីបានបញ្ឈប់ដំណើរការ Email Server កាលពីសប្តាហ៍មុន។
ដើម្បីដោះស្រាយបញ្ហា CVE-2025-6543 ស្ថាប័នទាំងអស់ត្រូវបានណែនាំឱ្យ Upgrade ទៅកាន់ NetScaler ADC និង NetScalser Gateway 14.1 ជំនាន់ 14.1-47.46 និងជំនាន់បន្ទាប់, ជំនាន់ 13.1-59.19 និងជំនាន់បន្ទាប់, ADC 13.1-FIPS, 13.1-NDcPP, 13.1-37.236 និងជំនាន់បន្ទាប់។ បន្ទាប់ពីដំឡើងបច្ចុប្បន្នភាពរួច វាសំខាន់ណាស់ត្រូវតែបញ្ចប់ Active Sessions ទាំងអស់ជាមួយនឹង៖
ការកាត់បន្ថយដូចគ្នានេះត្រូវបានផ្តល់ជូនសម្រាប់ដោះស្រាយបញ្ហា Citrix Bleed 2 ដែលត្រូវបានកេងចំណេញយ៉ាងសកម្ម (CVE-2025-5777)។ វាមិនច្បាស់ថាតើ បញ្ហានេះក៏ត្រូវបានកេងចំណេញនៅក្នុងការវាយប្រហារ ឬក៏វាដំណើរការបច្ចុប្បន្នភាពដូចគ្នាសម្រាប់បញ្ហាទាំងពីរ ឬយ៉ាងណានោះទេ។ NCSC បានណែនាំអ្នកគ្រប់គ្រងប្រព័ន្ធ (System Admin) ឱ្យប្រុងប្រយ័ត្នចំពោះសញ្ញានៃការគ្រប់គ្រងដែលត្រូវបានវាយប្រហារ (Compromised) ដូចជា កាលបរិច្ឆេទបង្កើតឯកសារ Atypical file ឈ្មោះឯកសារស្ទួនដែលមាន Extensions ខុសគ្នា និងអវត្តមាននៃ PHP files នៅក្នុង Folders។ ភ្នាក់ងារសន្តិសុខសាយប័រក៏បានបញ្ចេញ Script នៅក្នុង GitHub ដែលអាចស្គេនឧបករណ៍ស្វែងរក PHP មិនប្រក្រតី និង XHTML files ក៏ដូចជា IOCs ដ៏ទៃទៀតផងដែរ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១១ ខែសីហា ឆ្នាំ២០២៥
