
2.100’den fazla savunmasız Citrix NetScaler sunucusu, saldırganların kimlik doğrulama mekanizmalarını atlamasına ve oturum tokenlerini çalmasına izin veren kritik güvenlik açıkları için mevcut olmasına rağmen, aktif sömürüye maruz kalmaya devam ediyor.
Siber güvenlik firması Reliaquest, Citrix NetScaler ADC ve NetScaler Gateway Systems’ı etkileyen iki kritik güvenlik açıkının aktif olarak kullanılması hakkında uyarılar yayınladı. CVE-2025-5777 ve CVE-2025-6543 olarak izlenen güvenlik açıkları, Haziran 2025’in ortalarından beri saldırı altında, tarama faaliyetleri 19 Haziran’da tespit edildi.
29 Haziran 2025 itibariyle, Shadowserver’ın güvenlik taramaları, ABD ve Almanya’daki en yüksek konsantrasyonlara sahip yaklaşık 1.289 ve 2.100 açılmamış IP adresi tanımladı. Bu, bu kusurların kritik doğası göz önüne alındığında önemli güvenlik maruziyetini temsil eder.
Citrix Bleed 2: Tehlikeli Bir Evrim
“Citrix Bleed 2” olarak adlandırılan CVE-2025-5777, CVSS skoru 9.2 taşır ve 2023’te tahribat yaratan orijinal Citrix kanama güvenlik açığının tehlikeli bir evrimini temsil eder.
Bu yeni güvenlik açığı, yetersiz giriş validasyonundan kaynaklanmaktadır ve bu da saldırganların hassas kimlik doğrulama verilerini çıkarmasına izin veren sınır dışı bellek okumalarına neden olur.
Citrix Bleed 2’yi özellikle sinsi yapan şey hedefleme mekanizmasıdır. Orijinal oturum çerezlerine odaklanırken, bu varyant API çağrıları ve kalıcı uygulama oturumlarında kullanılan oturum belirteçlerini hedefler ve saldırganlara daha uzun ömürlü erişim sağlar. Kullanıcılar tarayıcı oturumlarını sonlandırdıktan sonra bile, saldırganlar, kaçırılan oturum jetonları aracılığıyla yetkisiz erişimi sürdürebilir.
Reliaquest araştırmacıları, başarılı MFA bypass’ı gösteren, kullanıcı bilgisi olmadan kimlik doğrulamasının verildiği kaçırılmış Citrix Web oturumları da dahil olmak üzere aktif sömürü öneren göstergeler hakkında gözlemlediler.
Sömürü, beklenen ve şüpheli kaynakları birleştirerek birden fazla IP adresinde oturumun yeniden kullanımını içerir.
CVE-2025-6543, CVSS skoru 9.3 taşır ve Citrix tarafından aktif olarak kullanıldığı doğrulanmıştır. Bu bellek taşma güvenlik açığı aynı NetScaler konfigürasyonlarını etkiler, ancak farklı tehditler oluşturur. Başarılı sömürü, kritik ağ altyapısını kapatabilecek hizmet reddi koşullarına yol açar.
Citrix, “CVE-2025-6543’ün önemsiz cihazlarda sömürülmelerinin gözlendiğini” belirten aktif sömürü kabul etti.
Güvenlik analistleri, gelişmiş bir tehdit oyuncunun katılımını öneren sofistike saldırı modellerini belgeledi. Reliaquest, “Adexplorer64.exe” nin birden fazla örneğini tehlikeye atılan ortamlara dağıtıldı. Saldırganlar, kapsamlı alan keşif faaliyetleri yapmak için bu Microsoft aracını silahlandırdılar.
Araştırmacılar, DataCamp gibi tüketici VPN hizmetleri de dahil olmak üzere, sofistike gizleme teknikleri öneren veri merkezi barındırma IP adreslerinden kaynaklanan Active Directory Keşif ve Citrix oturumları ile ilişkili LDAP sorgularını tespit ettiler.
NetScaler cihazları, kurumsal uygulamalara ve veri merkezlerine uzaktan erişim için ağ geçitleri olarak hareket eden kritik altyapı bileşenleri olarak hizmet eder. Bu sistemler genellikle uzak çalışanlar için birincil giriş noktaları olarak hizmet ederek onları yüksek değerli hedefler haline getirir.
Kimlik doğrulama bypass özellikleri özellikle ilgilidir, çünkü kuruluşların kritik güvenlik kontrolleri olarak güvendiği çok faktörlü kimlik doğrulama mekanizmalarını atlatırlar.
Citrix, her iki güvenlik açıkına da hitap eden güncellenmiş NetScaler binalarını yayınladı. Önerilen yamalı sürümler arasında NetScaler ADC ve NetScaler Gateway 14.1-43.56 ve sonraki sürümler ve 13.1-58.32 ve daha sonraki 13.1 sürümleri bulunur.
Citrix, yöneticilere yama yaptıktan sonra belirli komutları yürütmelerini tavsiye etti: aktif oturumları sonlandırmak ve saldırganların daha önce ele geçirilmiş oturumlar aracılığıyla erişimi sürdürmesini önlemek için “iCaconnection -ALL -ALL -ALL” ve “PCOIPCONNECTION -ALL”.
NetScaler sürümleri 12.1 ve 13.0 yaşam sonu durumuna ulaşmış ve güvenlik yamaları almayacaktır. Bu eski sürümleri yürüten kuruluşlar belirsiz bir maruz kalır ve hemen yükseltme çağrısında bulunur.
Kuruluşlar hemen tüm NetScaler sistemlerine, özellikle internete dönük cihazlara güvenlik yamaları uygulamalıdır. Patching sonrası prosedürler eşit derecede kritiktir-yöneticiler, tehlikeye atılan jetonları geçersiz kılmak için tüm aktif oturumları sonlandırmalıdır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi