Citrix, yaygın olarak kullanılan NetScaler Uygulama Dağıtım Denetleyicisi (ADC) ve NetScaler ağ geçidi çizgilerinde yeni belirlenmiş üç ortak güvenlik açıklarını ve maruziyetlerini (CVES) çözmek için yamalar yayınladı.
CVE-2025-7775, CVE-2025-7776 ve CVE-2025-8424 olarak izlenen böcek üçlüsü, her ya uzaktan kod yürütme (RCE) veya hizmetin ön kimlik doğrulamasına yol açan bir bellek taşma güvenlik açığıdır; Beklenmedik davranış ve DOS’a yol açan başka bir bellek taşma güvenlik açığı; ve NetScaler’ın yönetim arayüzünde bir erişim kontrolü güvenlik açığı.
Citrix, “Bulut Yazılım Grubu, etkilenen NetScaler ADC ve NetScaler Gateway müşterilerinin ilgili güncellenmiş sürümleri mümkün olan en kısa sürede yüklemeye şiddetle teşvik ediyor” dedi. Tedarikçi, etkili çözümlerin olmadığını ekledi.
Bağımsız güvenlik analisti başına Kevin Beaumont, üç kusur CVE-2025-7775’ten en tehlikeli sorun gibi görünüyor. Citrix ayrıca sömürü konuşmasını doğruladı ve danışında şunları belirtti: “CVE-2025-7775’in uygun olmayan cihazlar üzerindeki istismarları gözlendi”.
En son açıklama hakkında yorum yapan Watchtowr CEO’su ve kurucusu Benjamin Harris, “Eh, iyi, iyi… ‘Günde’ biten başka bir gün. Bir kez daha, Citrix NetScaler’da toplam uzlaşmayı kolaylaştıran yeni güvenlik açıkları görüyoruz, CVE-2025-7775 zaten aktif olarak backdroors dağıtmak için kullanıldı.
“Yama kritiktir, ancak tek başına yama yapmak onu kesmez. Kuruluşlar acilen önceki uzlaşma belirtileri için gözden geçirmedikçe ve backrodspours konuşlandırılmadıkça, saldırganlar hala içeride olacak. Sadece yamaların maruz kalacağı” diye ekledi.
Gözlemlenen olaylar hakkında veya etkilemiş olabilecekleri hakkında daha fazla bilgi henüz ortaya çıkmadı. Bu, birçok işletmeye uygulama teslimi ve iç ve dış aralıklı uygulamalar için güvenli uzaktan erişim sağlayan NetScaler’ın önemi, ürünlerdeki herhangi bir güvenlik açıkının, özellikle fidye yazılım çeteleri, özellikle fidye yazılımı çeteleri için bir ana hedef olduğu anlamına gelir.
Bu, NetScaler’ı etkileyen güvenlik açığı açıklamalarının yetersiz olmayan kadansından kaynaklanmaktadır. Bu yazın başlarında Citrix, bir tehdit aktörünün bellekten geçerli bir oturum belirtecini çalmak için kötü niyetli istekler girerek kimlik doğrulama önlemlerini atlatmasını sağlayan bir kusur olan CVE-2025-5777’yi düzeltti.
2023’teki Citrix kanama sorunlarına benzerliği nedeniyle, CVE-2025-5777, Citrix Bleed 2 takma adını hızla kazandı ve tehdit aktörleri tarafından hızla sömürüldü, ancak yazıldığı sırada herhangi bir büyük onaylanan veya atfedilen siber saldırılarda adlandırılmış gibi görünmüyor.
‘Sömürülmesi zor’
Olumlu bir not olarak, güvenlik araştırmalarının vulncheck başkan yardımcısı Caitlin Condon, CVE-2025-7775 ve CVE-2025-7776 gibi hafıza yolsuzluk kusurlarının genellikle bir şekilde “istismar etmek için zor” olduğunu ve bu nedenle, ya olağanüstü şiddetli rakipler veya daha yaygın olarak, devlet tehditleri tarafından kullanılma eğiliminde olduğunu söyledi.
Bir örnek olarak Condon, Computer Weekly’ye e-postayla gönderilen yorumlarda, CVE-2025-6543’ün CVE-2025-7775’e benzer bir açıklamaya sahip başka bir NetScaler Kususu’na verdiği demeçte, Haziran sonundan bu yana çınlamaya rağmen sömürüyü henüz ölçekte görmedi.
Ancak, bu, özellikle son eğilimler göz önüne alındığında, yamanın daha az bir öncelik olması gerektiği anlamına gelmediğini de sözlerine ekledi.
Condon, “Citrix Danışmanlığı sadece CVE-2025-7775’in aktif olarak kullanılmasından açıkça bahsederken, güvenlik duvarları ve güvenlik ağ geçitleri için yönetim arayüzleri son tehdit kampanyalarında toplu olarak hedef alındı” dedi.
“Gelecekte bu güvenlik açıklarını hedefleyen istismar zincirlerinin, CVE-2025-7775 gibi bir başlangıç erişim kusurunu CVE-2025-8424 gibi bir kusurla bir hedef olarak uzlaşma ile birleştirmeye çalışabilir. Korunmasız tepki önceliklendirmesi, CVE-2025-8424’ü daha yüksek korumayı içermelidir, ancak daha yüksek korumaya sınırlı olmak yerine, daha yüksek korumayı içermelidir, ancak daha yüksek korumaya sınırlı olmaktan ziyade, daha yüksek korumayı içermelidir. Yalnız, ”dedi.