ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, Citrix Netscaler ADC ve Gateway’de Citrixbleed 2 güvenlik açığının (CVE-2025-5777) aktif olarak sömürülmesini doğruladı ve federal ajanslara bir gün düzeltmeler uygulamak için veriyor.
Yamaları kurmak için böyle kısa bir son tarih, CISA, bilinen sömürülen güvenlik açıkları (KEV) kataloğunu yayınlayarak güvenlik sorunundan yararlanan saldırıların ciddiyetini gösterdiğinden eşi görülmemiş.
Ajans, dün bilinen sömürülen güvenlik açıkları (KEV) kataloğuna kusur ekleyerek federal ajanslara bugünün sonuna kadar hafifletmeler uygulamalarını emretti.
CVE-2025-5777, belleğin kısıtlı kısımlarına kimliği doğrulanmamış bir saldırgana erişim sağlayan kritik bir bellek güvenliği güvenlik açığıdır (sınır dışı bellek okundu).
Sorun, 14.1-43.56, 13.1-58.32, 13.1-37.235-fips/ndcpp ve 2.1-55.328-fips öncesi sürümlerde ağ geçidi veya AAA sanal sunucusu olarak yapılandırılan NetScaler cihazlarını etkiler.
Citrix, 17 Haziran’da yayınlanan güncellemelerle güvenlik açığını ele aldı.
Bir hafta sonra, güvenlik araştırmacısı Kevin Beaumont, bir blog yazısında kusurun sömürü potansiyeli, şiddeti ve yangılamaları açılmadığı takdirde uyardı.
Beaumont, her türlü siber suçlu aktör tarafından vahşi doğada yoğun bir şekilde sömürülen meşhur sitrixbleed güvenlik açığı (CVE-2023-4966) ile benzerlikler nedeniyle ‘Citrixbleed 2’ adını verdi.
Sarrixbleed 2’nin sömürülmesinin ilk uyarısı 27 Haziran’da Reliaquest’ten geldi. 7 Temmuz’dan itibaren WatchTowr ve Horizon3 güvenlik araştırmacıları, CVE-2025-5777 için Consept Susturs (POCS) yayınladı ve kusurun kullanıcı oturumu çalan saldırılarda nasıl kaldırılabileceğini gösterdi.
O zamanlar, vahşi doğada kesin aktif sömürü belirtileri zor kaldı, ancak POC’lerin mevcudiyeti ve sömürü kolaylığı ile, saldırganların daha büyük ölçekte yararlanmaya başlaması sadece bir zaman meselesiydi.
Bununla birlikte, son iki hafta boyunca, tehdit aktörleri Hacker forumlarında Citrix Bleed 2 güvenlik açığı için POC’ler hakkında görüşme, çalışma, test ve kamuoyu paylaşma konusunda aktif oldu.
Saldırılarda kullanılabilir istismarların nasıl çalışılacağı konusunda ilgi gösterdiler. Etkinlikleri son birkaç günde arttı ve güvenlik açığı için birden fazla istismar yayınlandı.
CISA, Citrixbleed 2’nin saldırılarda aktif olarak kullanıldığını doğruladığında, tehdit aktörlerinin geçen hafta yayınlanan teknik bilgilere dayanarak kendi istismarlarını geliştirmiş olması muhtemeldir.
Cisa, “Satıcı talimatları başına hafifletmeler uygulayın, bulut hizmetleri için geçerli BOD 22-01 rehberliğini izleyin veya hafifletmeler mevcut değilse ürünün kullanımını durdurun.”
Sorunu azaltmak için kullanıcıların 14.1-43.56+, 13.1- 58.32+ veya 13.1-fips/ndcpp 13.1-37.235+ ürün yazılımı sürümlerine yükseltmeleri şiddetle tavsiye edilir.
Güncellemeden sonra yöneticiler, zaten tehlikeye atılabilecekleri için tüm etkin ICA ve PCOIP oturumlarını ayırmalıdır.
Bunu yapmadan önce, şüpheli davranışlar için mevcut oturumları gözden geçirmelidirler. 'show icaconnection' komut veya NetScaler Gateway> PCOIP> Bağlantılar aracılığıyla.
Ardından, aşağıdaki komutları kullanarak oturumları sonlandırın:
kill icaconnection -allkill pcoipconnection -all
Hemen güncelleme mümkün değilse, güvenlik duvarı kurallarını veya ACL’leri kullanarak NetScaler’a harici erişimi sınırlayın.
CISA sömürüyü onaylasa da, Citrix’in 27 Haziran’dan itibaren orijinal güvenlik bültenini hala güncellemesi gerektiğini belirtmek önemlidir;
BleepingComputer, Citrixbleed 2’nin sömürü durumu hakkında herhangi bir güncelleme olup olmadığını sormak için Citrix ile temasa geçti ve bir ifade kullanıma sunulduktan sonra bu gönderiyi güncelleyeceğiz.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.