Siber güvenlik araştırmacıları, Windows ve Java için SAP Grafik Kullanıcı Arayüzü’nde (GUI), başarılı bir şekilde sömürülürse, saldırganların belirli koşullar altında hassas bilgilere erişmesini sağlayabilen iki şimdi paketlenmiş güvenlik kusurlarını ayrıntılı olarak gösterdi.
CVE-2025-0055 ve CVE-2025-0056 (CVSS skorları: 6.0) olarak izlenen güvenlik açıkları, Ocak 2025 için aylık güncellemelerinin bir parçası olarak SAP tarafından yamalandı.
Pathlock araştırmacısı Jonathan Stross, Hacker News ile paylaşılan bir raporda, “Araştırma, SAP GUI giriş geçmişinin hem Java hem de Windows sürümlerinde güvensiz olarak saklandığını keşfetti.” Dedi.
SAP GUI Kullanıcı Geçmişi, kullanıcıların zaman tasarrufu ve hataları azaltmak amacıyla giriş alanlarına daha önce girilen değerlere erişmesine olanak tanır. Bu geçmiş bilgiler yerel olarak cihazlarda saklanır. Bu, kullanıcı adlarını, ulusal kimlikleri, Sosyal Güvenlik numaralarını (SSN’ler), banka hesabı numaralarını ve dahili SAP tablo adlarını içerebilir.
Patlock tarafından tanımlanan güvenlik açıkları, bu giriş geçmişi özelliğine dayanarak, idari ayrıcalıklara sahip bir saldırganın veya Mağatın işletim sistemindeki kullanıcı dizisine erişim sağlayan SAP GUI varyantına dayanan önceden tanımlanmış bir dizin içindeki verilere erişmesine izin verir.
- Windows için SAP GUI – %AppData %\ Locallow \ SAPGUI \ CACHE \ HARIC \ Saphistory
.db - Java için SAP GUI – %AppData %\ Locallow \ SAPGUI \ CACHE \ TARİH VEYA $ HOME/.SAPGUI/CACHE/TARİH (Windows veya Linux) ve $ Ana Sayfa/Kütüphane/Tercihler/SAP/CACHE/TARİH (MACOS)
Sorun, girişlerin, Windows için SAP GUI durumunda XOR tabanlı bir şifreleme şeması kullanılarak veritabanı dosyasına kaydedilmesidir, bu da onları minimum çaba ile kod çözmek için önemsiz hale getirir. Buna karşılık, Java için SAP GUI bu tarihi girişleri, Java serileştirilmiş nesneler olarak şifrelenmemiş bir şekilde depolar.
Sonuç olarak, geçmişte sağlanan kullanıcı girişine bağlı olarak, açıklanan bilgiler, kritik olmayan veriler arasında son derece hassas verilere her şeyi içerebilir, böylece uygulamanın gizliliğini etkileyebilir.
“Bilgisayara erişimi olan herkes geçmiş dosyasına ve depoladığı tüm hassas bilgilere erişebilir.” Dedi. “Veriler yerel ve zayıf (ya da hiç olmadığı) şifrelenmiş olduğundan, HID enjeksiyon saldırıları (USB lastik ördek gibi) veya kimlik avı yoluyla pesfiltrasyon gerçek bir tehdit haline geliyor.”
Bilgi ifşası ile ilişkili olası riskleri azaltmak için, giriş geçmişi işlevini devre dışı bırakmanız ve mevcut veritabanını veya yukarıda belirtilen dizinlerden serileştirilmiş nesne dosyalarını silmeniz önerilir.
Citrix Yamaları CVE-2025-5777
Açıklama, Citrix’in NetScaler’da (CVE-2025-5777, CVSS Skoru: 9.3) kritik dereceli bir güvenlik kusurunu yamaladığı gibi, tehdit aktörleri tarafından duyarlı cihazlara erişim elde etmek için kullanılabilir.
Kaçak, yetkisiz saldırganların, yanlış biçimlendirilmiş istekler yoluyla hafızadan geçerli oturum jetonlarını almasını sağlayabilecek ve kimlik doğrulama korumalarını etkili bir şekilde atlayabilen yetersiz giriş doğrulamasından kaynaklanmaktadır. Ancak, bu yalnızca NetScaler bir ağ geçidi veya AAA sanal sunucusu olarak yapılandırıldığında çalışır.
Güvenlik açığı, iki yıl önce vahşi doğada aktif sömürü altında olan CVE-2023-4966 (CVSS skoru: 9.4) ile benzerlikleri nedeniyle güvenlik araştırmacısı Kevin Beaumont tarafından Citrix Bleed 2 kodlandı.
Aşağıdaki sürümlerde ele alınmıştır –
- NetScaler ADC ve NetScaler Gateway 14.1-43.56 ve sonraki sürümler
- NetScaler ADC ve NetScaler Gateway 13.1-58.32 ve daha sonraki 13.1 sürümleri
- NetScaler ADC 13.1-FIPS ve 13.1-NDCPP 13.1-37.235 ve daha sonraki 13.1-FIPS ve 13.1-NDCPP
- NetScaler ADC 12.1-FIPS 12.1-55.328 ve daha sonraki 12.1-FIPS
NetScaler örneklerini kullanarak şirket içi güvenli özel erişim veya güvenli özel erişim hibrit dağıtımları da güvenlik açıklarından etkilenir. Citrix, tüm NetScaler cihazları yükseltildikten sonra tüm etkin ICA ve PCOIP oturumlarını sonlandırmak için aşağıdaki komutları çalıştırmasını öneriyor –
kill icaconnection -all kill pcoipConnection -all
Şirket ayrıca NetScaler ADC ve Netscaler Gateway sürümlerinin 12.1 ve 13.0 müşterilerini şu anda yaşamın sonu (EOL) olduğu ve artık desteklenmedikleri için bir destek versiyonuna geçmeye çağırıyor.
Kusurun silahlandırıldığına dair bir kanıt olmasa da, Watchtowr CEO’su Benjamin Harris, saldırgan ilgisi için “tüm kutuları kontrol ettiğini” ve sömürünün köşede olabileceğini söyledi.
Benjamin Harris, CEO, CEO, “2023’te Citrix Netscaler aletlerinin son kullanıcıları için tahribat,” Citrix Netscaler cihazlarının son kullanıcıları için tahribat olan bir güvenlik açığı, “CVE-2025-5777, Citrixbleed kadar ciddi olacak.” Dedi.
“CVE-2025-5777’yi çevreleyen detaylar, ilk açıklamasından bu yana sessizce değişti, oldukça önemli ön koşullar veya sınırlamalar NVD CVE açıklamasından kaldırıldı-özellikle, bu güvenlik açığının daha az maruz kalan yönetim arayüzünde olduğu yorumunun artık ortadan kaldırıldığına yol açtı-bu rahatsızlıktan daha önemli olarak önemli ölçüde acı verici olduğuna inanıyor.