Hollanda Ulusal Siber Güvenlik Merkezi (NCSC), CVVE-2025-6543 olarak tanımlanan Citrix NetScaler sistemlerinde ciddi bir güvenlik açığının, Hollanda’daki birden fazla kritik organizasyona karşı hedeflenen saldırılarda kullanıldığını doğruladı. Sömürü, kırılganlığın kamuya açıklanmasından aylar önce başladı ve soruşturmalar, saldırganların tespitten kaçınmak için ileri yöntemler kullandığını gösteriyor.
Arka plan ve zaman çizelgesi
NCSC’ye göre, CVE-2025-6543’ün sömürülmesi Mayıs 2025’e kadar başladı ve o zaman sıfır gün güvenlik açığı haline getirdi. 25 Haziran’da Citrix resmi olarak güvenlik açığını açıkladı ve bir yama yayınladı; Bununla birlikte, bu tarihten önce çeşitli sistemlerde uzlaşma belirtileri zaten mevcuttu.
16 Temmuz’da NCSC, güvenlik açığının aktif olarak sömürülmesini tespit etti ve daha geniş bir soruşturma başlattı. Bulgular o zamandan beri birden fazla Hollanda örgütünün etkilendiğini doğruladı.
CVE-2025-6543’ün kapsamı ve teknik detayları
Saldırılar Citrix NetScaler ADC ve NetScaler Gateway ürünlerini hedefledi. Bunlar, uzaktan çalışma ortamları da dahil olmak üzere uygulamalara ve dahili ağlara güvenli erişimi yönetmek için yaygın olarak kullanılır. Güvenlik açığı, saldırganların maruz kalan sistemlere kötü niyetli web mermileri yerleştirmesine izin vererek, güvenlik açığı yamalandıktan sonra bile uzaktan kumanda ve kalıcı erişim sağlar.
Üç güvenlik açığı soruşturma altında:
- CVE-2025-6543 (onaylanmış sömürüldü)
- CVE-2025-5349
- CVE-2025-5777
Son ikisi tüm ortamlarda sömürülmediği doğrulanmamış, ancak inceleme altında kalmıştır. Etkilenen sistemlerin yamalanması, erişim zaten kurulmuş olabileceğinden, saldırganın kaldırılmasını garanti etmez.
Saldırı yöntemleri
Saldırıların arkasındaki aktörler, tehlikeye atılan sistemlerden adli izleri silmek için teknikler kullandılar. Bu, Entside sonrası soruşturmaları zorlaştırdı. Birçok durumda, tehdit aktörünün hala aktif olup olmadığı veya hangi verilere erişilip erişilebileceğine dair belirsizlik vardır.
Uzlaşma göstergeleri (IOC’ler) bulunmuştur, ancak NCSC, her vakanın uzlaşmanın derecesini belirlemek için daha derin bir araştırma gerektirdiğini not eder. Şüpheli faaliyet tespit edilirse kuruluşların adli analizlerini yapmaları beklenmektedir.
Risk ve yanıt
NCSC, bir sistem zaten tehlikeye atılmışsa, Citrix cihazlarının güncellenmesinin tehdidi kaldırmak için yeterli olmadığını belirtir. Saldırgan bir yama uygulandıktan sonra bile erişimi koruyabilir. Bu nedenle, kuruluşlar yamanın olayı kapattığını varsaymamalıdır.
Önerilen eylemler şunları içerir:
- Bir uzlaşma şüpheleniliyorsa tam adli araştırmalar yapılması.
- Derinlemeli Savunma Güvenlik Stratejilerinin uygulanması.
- Citrix güvenlik açığı ile ilgili yeni IOC’lerin izlenmesi.
- Uzanıyor [email protected] Uzlaşma onaylanırsa teknik yardım için.
Bunu henüz yapmamış olan kuruluşlar, Citrix tarafından sağlanan güvenlik güncellemelerini uygulamalı ve sistemlerini yetkisiz erişim veya web mermileri de dahil olmak üzere sömürü belirtileri açısından incelemelidir.
Çözüm
Citrix NetScaler Cihazlarında CVE-2025-6543’ün sömürülmesi aktif bir tehdit olmaya devam ediyor ve etkilenen kuruluşlar, güvenlik firmaları ve müdahale ekipleriyle işbirliği içinde soruşturmalar devam ediyor.
Tam kapsam ve etki, sorumlu olanların kimliği gibi hala bilinmemektedir ve ek sistemlerin tespit edilmeden tehlikeye atılmış olması muhtemeldir.
Bu saldırılarda gösterilen gizlilik ve kalıcılık göz önüne alındığında, kuruluşlar tek başına yama yapmanın yeterli olduğunu ve sistemlerinin güvenliğini ve bütünlüğünü doğrulamak için daha fazla adım atmaları gerektiğini varsaymamalıdır.