Perşembe günü ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Citrix Netscaler ADC’yi ve ağ geçidini, bilinen sömürülen güvenlik açıkları (KEV) kataloğuna etkileyen kritik bir güvenlik kusuru ekledi ve resmi olarak vahşi doğada güvenlik açığı silahlandırıldı.
Söz konusu eksiklik, cihaz ağ geçidi veya AAA Virtual Server olarak yapılandırıldığında bir saldırgan tarafından kimlik doğrulamasını atlamak için bir saldırgan tarafından kullanılabilecek yetersiz giriş doğrulaması örneği olan CVE-2025-5777 (CVSS puanı: 9.3). Ayrıca denir Citrix Bleed 2 Citrix Bleed (CVE-2023-4966) ile benzerlikleri nedeniyle.
Ajans, “Citrix NetScaler ADC ve Gateway, yetersiz giriş doğrulaması nedeniyle sınır dışı bir okuma güvenlik açığı içeriyor.” Dedi. “Bu güvenlik açığı, NetScaler bir ağ geçidi (VPN Sanal Sunucu, ICA Proxy, CVPN, RDP Proxy) veya AAA sanal sunucusu olarak yapılandırıldığında bellek abartılmasına yol açabilir.”
O zamandan beri birden fazla güvenlik satıcısı, kusurun gerçek dünya saldırılarında kullanıldığını bildirmiş olsa da, Citrix bu yönü yansıtacak şekilde kendi tavsiyelerini henüz güncellemedi. 26 Haziran 2025 itibariyle NetScaler mühendislik kıdemli başkan yardımcısı Anil Shetty, “CVE-2025-5777’nin sömürülmesini öneren hiçbir kanıt yok.”
Bununla birlikte, güvenlik araştırmacısı Kevin Beaumont, bu hafta yayınlanan bir raporda, Citrix Bleed 2 sömürüsünün Haziran ortasına kadar başladığını ve saldırıları gerçekleştiren IP adreslerinden birinin daha önce RansomHub fidye yazılımı etkinliğiyle bağlantılı olduğunu söyledi.
Greynoise’den elde edilen veriler, sömürü çabalarının son 30 gün içinde Bulgaristan, ABD, Çin, Mısır ve Finlandiya’da bulunan 10 benzersiz kötü amaçlı IP adresinden kaynaklandığını göstermektedir. Bu çabaların temel hedefleri ABD, Fransa, Almanya, Hindistan ve İtalya’dır.
KEV kataloğuna CVE-2025-5777 eklenmesi, aynı üründe başka bir kusur olarak gelir (CVE-2025-6543, CVSS skoru: 9.2) de vahşi doğada aktif sömürü altına girmiştir. CISA, 30 Haziran 2025’te KEV kataloğuna kusuru ekledi.
Akamai, “‘Citrix Bleed’ terimi kullanılır, çünkü bellek sızıntısı aynı yükü göndererek tekrar tekrar tetiklenebilir, her denemenin yeni bir yığın belleği parçalanması – etkili bir şekilde kanama ‘hassas bilgileri sızdırmaz.
“Etkilenen cihazların VPN’ler, vekiller veya AAA sanal sunucuları olarak yapılandırılabileceği göz önüne alındığında, bu kusurun korkunç sonuçları olabilir. Oturum jetonları ve diğer hassas veriler ortaya çıkabilir – potansiyel olarak dahili uygulamalara, VPN’lere, veri merkezi ağlarına ve dahili ağlara yetkisiz erişim sağlar.”
Bu cihazlar genellikle kurumsal ağlara merkezi giriş noktaları olarak hizmet verdiğinden, saldırganlar tek oturum açma portallarına, bulut panolarına veya ayrıcalıklı yönetici arayüzlerine erişmek için çalıntı oturumlardan dönebilirler. Bir dayanağın hızla tam ağ erişimi haline geldiği bu tür yanal hareket, zayıf iç segmentasyona sahip hibrid BT ortamlarında özellikle tehlikelidir.
Bu kusuru azaltmak için kuruluşlar, Citrix’in 17 Haziran danışmanlığında listelenen yamalı yapılara hemen yükseltilmelidir. Yama yaptıktan sonra, tüm aktif oturumlar – özellikle AAA veya Gateway yoluyla kimlik doğrulamış olanlar – çalınan jetonları geçersiz kılmak için zorla sonlandırılmalıdır.
Yöneticiler ayrıca /p/u/doauthentication.do gibi kimlik doğrulama uç noktalarına şüpheli istekler için günlükleri (örneğin, NS.Log) incelemeye ve beklenmedik XML verileri için yanıtları incelemeye teşvik edilir.
Geliştirme ayrıca, NetCAT ve XMRIG kripto para birimi madencisini, Powershell ve kabuk betikleri tarafından Güney Kore’yi hedefleyen saldırılarda NetCAT ve XMRIG kripto para madenci madencisini dağıtmak için Osgeo Geoserver Geotools’ta (CVE-2024-36401, CVSS Skor: 9.8) kritik bir güvenlik açığının aktif olarak kullanılması raporlarını takip ediyor. CISA, Temmuz 2024’te Kev kataloğuna kusuru ekledi.
Ahnlab, “Tehdit aktörleri, Windows ve Linux’unkiler de dahil olmak üzere savunmasız geoserver kurulumlarıyla ortamları hedefliyor ve NetCat ve Xmrig para madencisini kurdu.” Dedi.
“Bir madeni para madencisi kurulduğunda, tehdit oyuncusu Monero paralarını çıkarmak için sistemin kaynaklarını kullanır. Tehdit oyuncusu, yüklü NetCAT’ı diğer kötü amaçlı yazılımları kurmak veya sistemden çalmak gibi çeşitli kötü amaçlı davranışlar gerçekleştirmek için kullanabilir.”