দুই মাস আগে প্যাচ প্রকাশের পরও বিশ্বজুড়ে ৩,৩০০টির বেশি সিট্রিক্স নেটস্কেলার ডিভাইস একটি গুরুতর দুর্বলতার কারণে ঝুঁকিতে রয়েছে। এই দুর্বলতা, যা ‘সিট্রিক্সব্লিড ২’ নামে পরিচিত এবং CVE-2025-5777 হিসেবে চিহ্নিত, হ্যাকারদের বিনা অনুমতিতে ব্যবহারকারীর সেশন হাইজ্যাক করতে এবং নিরাপত্তা ব্যবস্থা অতিক্রম করতে সক্ষম করে। এই সমস্যাটি ডিভাইসের অপর্যাপ্ত ইনপুট যাচাইকরণের কারণে সৃষ্ট একটি আউট-অফ-বাউন্ডস মেমরি রিড দুর্বলতা, যা গেটওয়ে (ভিপিএন ভার্চুয়াল সার্ভার, আইসিএ প্রক্সি, সিভিপিএন, আরডিপি প্রক্সি) বা এএএ ভার্চুয়াল সার্ভার হিসেবে কনফিগার করা ডিভাইসগুলোতে দূর থেকে সংবেদনশীল মেমরি অঞ্চলে প্রবেশের সুযোগ করে দেয়।
এই দুর্বলতার সফল শোষণ হ্যাকারদের সেশন টোকেন, লগইন তথ্য এবং অন্যান্য গুরুত্বপূর্ণ ডেটা চুরি করতে দেয়, যা তাদের ব্যবহারকারীর সেশন হাইজ্যাক করতে এবং মাল্টি-ফ্যাক্টর অথেনটিকেশন (এমএফএ) বাইপাস করতে সক্ষম করে। দুর্বলতাটি প্রকাশের মাত্র দুই সপ্তাহের মধ্যে এর প্রুফ-অফ-কনসেপ্ট (পিওসি) এক্সপ্লয়েট প্রকাশিত হয়, যদিও এর আগেই জিরো-ডে হামলায় এটি শোষিত হচ্ছিল।
দুই বছর আগে একই ধরনের আরেকটি দুর্বলতা, ‘সিট্রিক্সব্লিড’ নামে পরিচিত, নেটস্কেলার ডিভাইসে হামলার জন্য ব্যবহৃত হয়েছিল। সেই সময় হ্যাকাররা এটি ব্যবহার করে র্যানসমওয়্যার হামলা এবং সরকারি প্রতিষ্ঠানে অনুপ্রবেশের মাধ্যমে নেটওয়ার্কে প্রবেশ করেছিল।
সোমবার, ইন্টারনেট নিরাপত্তা সংস্থা শ্যাডোসার্ভার ফাউন্ডেশন জানিয়েছে, ৩,৩১২টি সিট্রিক্স নেটস্কেলার ডিভাইস এখনো CVE-2025-5777 দুর্বলতার জন্য ঝুঁকিপূর্ণ। এছাড়া, আরেকটি গুরুতর দুর্বলতা (CVE-2025-6543) এর বিরুদ্ধে ৪,১৪২টি ডিভাইস প্যাচবিহীন রয়েছে, যা সিট্রিক্সের মতে ডিনায়াল-অফ-সার্ভিস (ডিওএস) হামলায় সক্রিয়ভাবে শোষিত হচ্ছে।
নেদারল্যান্ডসের ন্যাশনাল সাইবার সিকিউরিটি সেন্টার (এনসিএসসি) সোমবার সতর্ক করে জানিয়েছে, CVE-2025-6543 দুর্বলতাটি গত মে মাস থেকে জিরো-ডে হামলায় ব্যবহৃত হচ্ছে এবং এর মাধ্যমে দেশের একাধিক গুরুত্বপূর্ণ প্রতিষ্ঠানে হামলা সফল হয়েছে। এনসিএসসি জানায়, এই হামলাগুলো উন্নত কৌশল ব্যবহারকারী এক বা একাধিক হ্যাকার গ্রুপের কাজ, যারা প্রভাবিত প্রতিষ্ঠান থেকে তাদের হামলার চিহ্ন মুছে ফেলছে।
যদিও এনসিএসসি কোনো প্রতিষ্ঠানের নাম প্রকাশ করেনি, নেদারল্যান্ডসের পাবলিক প্রসিকিউশন সার্ভিস (ওপেনবার মিনিস্টেরি) গত ১৮ জুলাই এনসিএসসি’র সতর্কতার পর একটি হামলার কথা প্রকাশ করে। এই হামলার ফলে তাদের কার্যক্রমে ব্যাপক বিঘ্ন ঘটে এবং সম্প্রতি তারা তাদের ইমেইল সার্ভার পুনরুদ্ধার করতে সক্ষম হয়েছে।
যুক্তরাষ্ট্রের সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) এই দুটি দুর্বলতাকে তাদের সক্রিয়ভাবে শোষিত দুর্বলতার তালিকায় যুক্ত করেছে। তারা ফেডারেল সংস্থাগুলোকে CVE-2025-5777 এর বিরুদ্ধে এক দিনের মধ্যে এবং CVE-2025-6543 এর বিরুদ্ধে ২১ জুলাইয়ের মধ্যে তাদের সিস্টেম সুরক্ষিত করার নির্দেশ দিয়েছে।
বাংলাদেশের প্রেক্ষাপটে, এই ধরনের সাইবার হামলা আমাদের আর্থিক প্রতিষ্ঠান, সরকারি সংস্থা এবং বেসরকারি সংগঠনগুলোর জন্যও উদ্বেগের বিষয়। সিট্রিক্স নেটস্কেলার ডিভাইস ব্যবহারকারী প্রতিষ্ঠানগুলোর উচিত অবিলম্বে প্যাচ ইনস্টল করা এবং তাদের সিস্টেমের নিরাপত্তা পরীক্ষা করা, যাতে এই ধরনের হামলা থেকে রক্ষা পাওয়া যায়। সাইবার নিরাপত্তার প্রতি সচেতনতা এবং সময়মতো ব্যবস্থা গ্রহণ এখন সময়ের দাবি।
