Güvenlik analistleri, 2023’ün Citrix Bleed Bleed Bleed Bleed Bleed Bleed Bleed Bleed Bleed Bleed Kusuruyla karşılaştırıldığı, güvenlik analizleri tarafından karşılaştırılmış görünen yeni bir şekilde keşfedilen bir güvenlik açığı.
9.3 kritik bir CVSS skoru atanan CVE-2025-5777, teknik olarak konuşurken, yetersiz giriş validasyonundan kaynaklanan sınır dışı bir okuma kusurudur. Bağımsız araştırmacı Kevin Beaumont tarafından Citrix Bleed 2, CVE-2025-5777, Citrix Bleed, CVE-2023-4966’ya benzer olduğu bildiriliyor, çünkü nihai etkisi, bir saldırganın kimlik doğrulamalı seansları kaçırmasına ve multifaktör cihazından (MFA), netsceter’tan multifaktör cihazlarından bypass’a izin vermektir.
Orijinal Citrix kanama güvenlik açığı, siber suçlular için oldukça etkili bir araç olduğunu kanıtladı ve o sırada en önemli fidye yazılımı çetelerinden bazıları – Lockbit de dahil olmak üzere – bu son kusurun keşfedilmesi üzerine güvenlik liderlerine ve savunucularına mesaj, zaman ve yamayı hemen boşa harcamaktır.
Bununla birlikte, bu rehber bazı kuruluşlar için çok geç gelebilir, çünkü Reliaquest Tehdit Araştırma Ekibi tarafından paylaşılan istihbaratlara göre, tehdit aktörleri zaten yığılmaya başlıyor.
Reliaquest ekibi, “Bu kırılganlık için hiçbir kamuoyu raporlaması ortaya çıkmamış olsa da, Reliaquest ilk erişim elde etmek için sömürü belirtileri gözlemledi” dedi. “Reliaquest, saldırganların hedeflenen ortamlara ilk erişim elde etmek için bu kırılganlığı aktif olarak kullandıklarını orta güvenle değerlendiriyor.
“Citrix, etkilenen sistemlerin en son sürümlere yamalanmasını ve oturum kaçırma ve daha fazla sömürü riskini azaltmak için aktif oturumların sonlandırılmasını önerir.”
En önemlisi, Reliaquest, analistlerinin, kimlik doğrulamasının kullanıcı bilgisi olmadan verildiği göründüğü NetScaler cihazlarından birden fazla kaçırılan Citrix Web oturumunun kanıtını topladığını söyledi – olası MFA baypasının gerçekleştiğine dair çok açık bir gösterge.
Ayrıca, beklenen ve şüpheli IP’lerin kombinasyonları da dahil olmak üzere çoklu IP’leri kapsayan seansların yeniden kullanıldığına dair kanıtlar; Active Directory kurulumlarının potansiyel yeniden işlemesi ile ilişkili hafif dizin erişim protokolü (LDAP) sorguları; ve kullanıcı ortamlarında ‘Adexplorer64.exe’ aracının hem etki alanı düzeyinde grupları hem de izinleri sorgulamaya ve birden çok etki alanı denetleyicisine bağlandığı birden fazla örnek.
Son olarak, Reliaquest ekibi, DataCentre barındırma IP adreslerinden gelen dikkate değer sayıda Citrix oturumunu gözlemlediklerini ve tüketici VPN hizmetlerinin olası kullanımını önerdiğini söyledi.
Tüm bu noktalar – tek başına veya kombinasyon halinde – bir tehdit oyuncusunun potansiyel bir kurban ortamını numaralandırdığını ve savunucuların onlar için uyanık olması gerektiğini gösterebilir.
NetScaler ADC ve Gateway kullanıcıları, Citrix’in danışmanlığı başına en son sürümleri güncellediğinden emin olmalı ve bu yüzden aktif ICA ve PCOIP oturumlarını sonlandırmak için bir dizi komut çalıştırmaları da şiddetle tavsiye edilir.
LinkedIn üzerine yazan Charles Carmakal, Google Cloud’un Mantiant baş teknoloji sorumlusu, bu ikinci noktanın savunucuların akılda tutulması için özellikle önemli olduğunu söyledi.
İlk Citrix kanama olayının yüksekliğinde, birçok kurban, yamalara rağmen, oturum sırlarının zaten çalındığını ve böylece saldırganların cihazlara rağmen tüm niyet ve amaçlara göre erişimi koruyabildiğini buldu. Bu, aksi takdirde meydana gelebileceğinden daha fazla uzlaşmaya yol açtı.