ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Pazartesi günü, vahşi doğada aktif sömürü kanıtlarını belirterek bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna dört güvenlik kusuru ekledi.
Kusurların listesi aşağıdaki gibidir –
- CVE-2014-3931 (CVSS Puanı: 9.8) – Uzaktan saldırganların keyfi bir bellek yazma ve hafıza yolsuzluğuna neden olmasına izin verebilecek çok yönlü görünümlü camda (MRLG) bir tampon taşma güvenlik açığı
- CVE-2016-10033 (CVSS Puanı: 9.8)-PHPMiler’de bir saldırganın başvuru bağlamında keyfi kod yürütmesine veya hizmet reddi (DOS) koşulu ile sonuçlanmasına izin verebilecek bir komut enjeksiyon güvenlik açığı
- CVE-2019-5418 (CVSS Puanı: 7.5) – Ruby On Rails’in eylem görünümünde, hedef sistemin dosya sistemindeki keyfi dosyaların içeriğinin ortaya çıkmasına neden olabilecek bir yol geçiş güvenlik açığı
- CVE-2019-9621 (CVSS Puanı: 7.5) – Zimbra işbirliği paketinde dahili kaynaklara yetkisiz erişim ve uzaktan kod yürütme ile sonuçlanabilecek bir sunucu tarafı istek ampliferans (SSRF) güvenlik açığı
Şu anda ilk üç güvenlik açıklığının gerçek dünya saldırılarında nasıl kullanılacağına dair bir kamu raporu yoktur. Öte yandan CVE-2019-9621’in kötüye kullanılması, trend micro tarafından Eylül 2023’te Web kabuklarını ve kobalt grevini bırakmak için Dünya Lusca olarak bilinen Çin bağlantılı bir tehdit aktörüne atfedildi.
Aktif sömürü ışığında, Federal Sivil Yürütme Şubesi (FCEB) ajanslarının ağlarını güvence altına almak için 28 Temmuz 2025’e kadar gerekli güncellemeleri uygulamaları önerilir.
Citrix Bleed 2’nin teknik detayları
Geliştirme, WatchTowr Labs ve Horizon3.AI olarak geliyor. Aktif sömürü altında olduğu değerlendirilen Citrix NetScaler ADC’de (CVE-2025-5777 aka Citrix Bleed 2) kritik bir güvenlik kusuru için teknik analizler yayınladı.
WatchTowr CEO’su Benjamin Harris, Hacker News’e verdiği demeçte, “Vahşi doğada hem CVE-2025-5777 hem de CVE-2025-6543’ten aktif olarak sömürü görüyoruz.” “Bu güvenlik açığı, saldırganların hassas bilgileri okumak için kullandıklarına inandığımız belleğin okunmasına izin verir (örneğin, daha sonra bellek içi işlenen HTTP istekleri içinde gönderilen bilgiler, kimlik bilgileri, geçerli Citrix oturum tokenleri ve daha fazlası.”
Bulgular, “/p/u/doauthentication.do” uç noktasına bir giriş isteği göndermenin mümkün olduğunu ve başarı veya başarısızlıktan bağımsız olarak kullanıcı tarafından sağlanan giriş değerini yansıtmasına neden olduğunu (ve kusura duyarlı diğer uç noktalara) neden olduğunu göstermektedir.
Horizon3.ai, güvenlik açığının, eşit bir işaret veya değer olmadan değiştirilmiş bir “giriş =” ile özel olarak hazırlanmış bir HTTP isteği yoluyla yaklaşık 127 bayt veri sızdırmak için kullanılabileceğini, böylece oturum tokenlerini veya diğer hassas bilgileri çıkarmayı mümkün kıldığını belirtti.
WatchTowr’ın açıkladığı eksiklik, “%.*S” biçimini içeren bir format dizesi ile birlikte Snprintf işlevinin kullanımından kaynaklanıyor.
” %.*S formatı Snprintf’e şunları söyler: ‘N karakterlere yazdırın veya ilk null baytında (\\ 0) durun – hangisi önce gelirse.’ Bu boş bayt sonunda bellekte bir yerde görünür, bu nedenle sızıntı süresiz olarak çalışmasa da, hala her çağrışmada bir avuç bayt elde edersiniz. “Dedi.
“Yani, = olmadan bu uç noktaya her vurduğunuzda, daha fazla başlatılmamış yığın verilerini yanıta çekersiniz. Yeterince kez tekrarlayın ve sonunda değerli bir şeye inebilirsiniz.”