Siber güvenlik firması Reliaquest’e göre, Citrix cihazlarındaki şüpheli oturumlarda bir artış görerek, “Citrix Bleed 2” (CVE-2025-5777) olarak adlandırılan kritik bir NetScaler ADC ve Gateway güvenlik açığı (CVE-2025-5777) artık saldırılarda kullanılmaktadır.
Siber güvenlik araştırmacısı Kevin Beaumont tarafından orijinal citrix kanamasına (CVE-2023-4966) benzerliği nedeniyle adlandırılan Citrix Bleed 2, yetkili olmayan saldırganların tipik olarak erişilememesi gereken bellek kısımlarına erişmesine izin veren sınır dışı bir bellek okuma güvenlik açığıdır.
Bu, saldırganların kamuya bakan ağ geçitlerinden ve sanal sunuculardan oturum jetonlarını, kimlik bilgilerini ve diğer hassas verileri çalmasına ve kullanıcı oturumlarını ele geçirmelerini ve çok faktörlü kimlik doğrulamasını (MFA) atlamalarını sağlayabilir.
Citrix’in danışmanı ayrıca bu riski teyit eder, kullanıcıları, kaçırılan oturumlara erişimi engellemek için güvenlik güncellemelerini yükledikten sonra tüm ICA ve PCOIP oturumlarını sona erdirmeleri için uyarır.
CVE-2025-5777 olarak izlenen kusur, 17 Haziran 2025’te Citrix tarafından aktif sömürü raporu olmadan ele alındı. Ancak Beaumont, bu haftanın başlarında yüksek sömürü olasılığı konusunda uyardı.
Reliaquest’in CVE-2025-5777’nin hedefli saldırılarda zaten kaldırıldığına dair orta güvenle söylediği gibi, araştırmacının endişeleri artık haklı görünüyor.
Reliaquest, “” Citrix Bleed 2 “olarak adlandırılan CVE-2025-5777’nin kamuya açık bir şekilde kullanılması rapor edilmese de, Reliaquest, saldırganların hedeflenen ortamlara ilk erişim elde etmek için bu kırılganlığı aktif olarak sömürdüğüne dair orta güvenle değerlendirir.”
Bu sonuç, son zamanlarda görülen gerçek saldırılardan aşağıdaki gözlemlere dayanmaktadır:
- Kaçırılan Citrix Web Oturumları, kullanıcı etkileşimi olmadan kimlik doğrulamasının verildiği durumlarda, saldırganların çalıntı oturum belirteçleri kullanılarak MFA’yı atladığını gösterdi.
- Saldırganlar aynı Citrix oturumunu hem meşru hem de şüpheli IP adreslerinde yeniden kullandılar, bu da oturum kaçırma ve yetkisiz kaynaklardan tekrar oynatmayı önerdi.
- LDAP sorguları erişim sonrası başlatıldı ve saldırganların kullanıcıları, grupları ve izinleri haritalamak için Active Directory keşif yaptığını gösterdi.
- Adexplorer64.exe’nin birden fazla örneği, koordineli etki alanı keşiflerini ve çeşitli alan denetleyicilerine bağlantı girişimlerini gösteren sistemler arasında koştu.
- Citrix Oturumları, DataCamp gibi tüketici VPN sağlayıcılarıyla ilişkili veri merkezi IP’lerinden kaynaklandı ve anonimleştirilmiş altyapı yoluyla saldırganın şaşkınlığını önerdi.
Yukarıdakiler, CVE-2025-5777’nin vahşi doğada sömürüldüğü değerlendirmeyi güçlendiren yetkisiz Citrix erişimini takiben sömürme sonrası etkinlikle tutarlıdır.
Bu etkinliğe karşı korumak için, potansiyel olarak etkilenen kullanıcılar, güvenlik açığını gidermek için 14.1-43.56+, 13.1-58.32+veya 13.1-fips/ndcpp 13.1-37.235+sürümlerine yükseltilmelidir.
En son ürün yazılımını yükledikten sonra, yöneticiler zaten kaçırılmış olabilecekleri için tüm etkin ICA ve PCOIP oturumlarını feshetmelidir.
Aktif oturumları öldürmeden önce, yöneticiler önce bunları şüpheli etkinlik için gözden geçirmelidir. show icaconnection komuta ve NetScaler Gateway > PCOIP > Bağlantılar.
Aktif oturumları inceledikten sonra, yöneticiler bu komutları kullanarak feshedebilirler:
kill icaconnection -all
kill pcoipconnection -allGüvenlik güncellemelerinin derhal kurulumu imkansızsa, NetScaler’a harici erişimin ağ ACL’leri veya güvenlik duvarı kuralları aracılığıyla sınırlandırılması önerilir.
BleepingComputer, CVE-2025-5777’nin sömürü durumu hakkında Citrix ile temasa geçti, ancak cevap almadı.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.