Çevrimiçi olarak maruz kalan 1.200’den fazla Citrix NetScaler ADC ve NetScaler Gateway Appliances, aktif olarak sömürüldüğüne inanılan kritik bir kırılganlığa karşı açıldı ve tehdit aktörlerinin kullanıcı oturumlarını kaçırarak kimlik doğrulamasını atlamasına izin veriyor.
CVE-2025-5777 olarak izlenir ve Citrix Bleed 2 olarak adlandırılır, bu sınırsız bellek okuma güvenlik açığı yetersiz giriş doğrulamasından kaynaklanır ve bu da kimlik doğrulanmamış saldırganların kısıtlı bellek bölgelerine erişmesini sağlar.
“Citrixbleed” olarak adlandırılan benzer bir Citrix güvenlik kusuru, fidye yazılımı saldırılarında ve 2023’te hükümetleri hedefleyen ihlallerde NetScaler cihazlarını kesmek ve uzlaşmış ağlar arasında yanal olarak hareket etmek için kullanıldı.
CVE-2025-5777’de başarılı bir şekilde yararlanmak, tehdit aktörlerinin kamuya bakan ağ geçitlerinden ve sanal sunuculardan oturum jetonlarını, kimlik bilgilerini ve diğer hassas verileri çalmasına izin vererek kullanıcı oturumlarını kaçırmalarını ve çok faktörlü kimlik doğrulamasını (MFA) atlamalarını sağlayabilir.
17 Haziran’da bir danışmanlıkta Citrix, müşterileri tüm NetScaler cihazlarını potansiyel saldırıları engellemek için yamalı bir versiyona yükselttikten sonra tüm aktif ICA ve PCOIP oturumlarını feshetmeleri konusunda uyardı.
Pazartesi günü, İnternet Güvenliği Kâr Amacı Gütmeyen Shadowserver Vakfı’ndan güvenlik analistleri hafta sonu 2.100 cihazın CVE-2025-5777 saldırılarına karşı savunmasız olduğunu keşfetti.
Citrix, bu güvenlik kusurunun vahşi doğada sömürüldüğünü henüz teyit etmese de, “şu anda, CVE-2025-5777’nin sömürülmesini öneren hiçbir kanıt yoktur”, siber güvenlik firması Reliaquest Perşembe günü, savunmasızlığın hedeflenen saldırılarda zaten istismar edildiğine dair orta güvenle bildirildi.
Reliaquest, “‘Citrix Bleed 2’ olarak adlandırılan CVE-2025-5777’nin kamuya açık bir şekilde kullanılması rapor edilmese de, Reliaquest, saldırganların hedeflenen ortamlara ilk erişim elde etmek için bu güvenlik açığını aktif olarak sömürdüğünü değerlendiriyor.”
Reliaquest, başarılı bir MFA bypass girişimini, birden fazla IP adresinde (şüpheli olanlar dahil) oturumun yeniden kullanılmasını ve Active Directory Keşfi faaliyetlerine bağlı LDAP sorgularını gösteren kaçırılmış bir Citrix Web oturumu da dahil olmak üzere yetkisiz Citrix erişimini takiben sömürme sonrası etkinlik öneren göstergeler belirlendi.
Shadowserver ayrıca, şimdi hizmet reddi (DOS) saldırılarında sömürülen başka bir kritik güvenlik açığına (CVE-2025-6543) karşı açılan 2.100’den fazla NetScaler aletinin bulunduğunu buldu.
Her iki kusur da kritik şiddet güvenlik açıkları olarak etiketlenirken, yöneticilere en son yamaları en kısa sürede Citrix’ten dağıtmaları tavsiye edilir. Şirketler ayrıca erişim kontrollerini gözden geçirmeli ve şüpheli kullanıcı oturumları ve etkinliği için Citrix NetScaler cihazlarını izlemelidir.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.