Bilgisayar korsanları halka açık POC açıklamadan önce Citrixbleed 2 güvenlik açığından yararlanmaya başladı

Araştırmacılar, bir kamu kavramının ortaya çıkmasından yaklaşık iki hafta önce CVE-2025-5777’nin aktif bir sömürüsünü tespit ettiler.

Bu bellek, Citrix NetScaler aletlerindeki güvenlik açığı, rakiplerin kötü biçimlendirilmiş DTLS paketleri göndererek çekirdek boşluğundan duyarlı verileri çekmelerini sağlar.

İlk keşif ve saldırı kalıpları ilk olarak 23 Haziran’da gözlemlenirken, POC 4 Temmuz’a kadar serbest bırakılmadı. Bu erken sömürü proaktif tehdit istihbaratı ve hızlı yama yönetimi ihtiyacının altını çiziyor.

Key Takeaways
1. CitrixBleed 2 (CVE-2025-5777) was actively exploited.
2. Chinese IPs precisely targeted Citrix NetScaler appliances.
3. CISA added CVE-2025-5777 to its CVE catalog; immediate patching is essential.

Güvenlik açığı 9.8 CVSS skoru taşır ve SSL işleme modülünde uygunsuz sınırlar kontrolünden kaynaklanır.

Saldırganlar, hatalı biçimlendirilmiş DTLS el sıkışma dizilerinden yararlanarak, sınır dışı okumaları tetikleyebilir, kimlik bilgileri, yapılandırma dosyaları veya şifreleme anahtarları gibi potansiyel olarak sızan bellek içeriklerini tetikleyebilir.

Geynoise analistleri, 7 Temmuz’da trafiğe özel bir etiket atadı ve sensör ağlarında POC öncesi saldırılara geriye dönük görünürlük sağladı.

Citrix NetScaler Güvenlik Açığı Sömürü

Araştırmacılar, Citrix NetScaler örneklerini taklit eden sensörler kullandıklarında, Çin’de yer alan IP adreslerinden kaynaklanan anormal DTLS el sıkışma dizileri kaydettiler.

Bu paketler, DTLS spesifikasyonunu ihlal eden, çekirdek seviyesi yanıtları yönlendiren ve bellek parçalarını ortaya çıkaran kötü biçimlendirilmiş uzunluk alanları sergiledi.

Paket yakalamaları analiz ederek, analistler aşırı okuma ofsetlerini yeniden inşa ettiler ve CVE-2025-5777 kusurunun sömürülmesini doğrulayarak tutarlı sızıntı modellerini belirlediler.

Wireshark ve Scapy gibi araçları kullanarak derinlemesine paket diseksiyonu, güvenlik açığını tetiklemek için tekrarlanan girişimleri vurguladı.

Yatanmış paketler, tampon sınırlarını aşan ve NetScaler SSL yığınının artık verileri döndürmesine neden olan spesifik TLS kayıt katmanı değerleri kullandı.

Tehdit istihbarat beslemelerinin analizi, fırsatçı kitle taramasından ziyade kurumsal çevre cihazlarına karşı odaklanmış bir kampanya ortaya koydu.

Kötü niyetli IP’ler, yüksek değerli Citrix NetScaler kurulumları içeren belirli ağ bloklarını seçerek, toplu sömürüyü önledi.

Bu hassas hedefleme, saldırganların, önceki devlete bağlı operasyonlarda görülen taktiklerle tutarlı olarak bellek aşırı okuma denemeleri başlatmadan önce cihaz sürümlerini parmak izi verdikleri bir keşif aşaması önermektedir.

9 Temmuz’da Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Grinnoise bulgularını destekledi ve bilinen sömürülen güvenlik açıkları (KEV) kataloğuna CVE-2025-5777 ekledi.

CISA’nın kamu danışmanlığı, Citrix tarafından sağlanan yamaların derhal uygulanmasını istedi ve anormal kayıt uzunluğu değerleri ile anormal DTLS trafiği için sürekli izleme önerdi.

KEV’ye dahil edilmesi, ABD federal ve kritik altyapı sektörlerinde farkındalığı hızlandırdı ve hızlandırılmış hafifletme çabalarını artırdı.

Devam eden sömürüye karşı koymak için, savunuculara Citrix’in ürün yazılımı güncellemesini uygulamaları ve hatalı biçimlendirilmiş DTLS kayıtlarını algılayan veya engelleyen ağ kontrollerini uygulamaları tavsiye edilir.

Tehdit istihbarat kaynaklarını doğrudan güvenlik altyapısına entegre ederek, kuruluşlar maruz kalma pencerelerini ve yanlış pozitifleri azaltabilir ve Sarrixbleed 2 sömürüsüne karşı sağlam korumayı sürdürebilir.

Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi