Hollanda’daki Ulusal Siber Güvenlik Merkezi (NCSC), CVE-2025-6543 olarak tanımlanan Citrix Netscaler sistemlerinde sıfır gün güvenlik açığından yararlanan bir dizi sofistike siber saldırı hakkında acil bir güncelleme yayınladı.
Citrix NetScaler Uygulama Dağıtım Denetleyicisi (ADC) ve Gateway ürünlerini etkileyen bu kusur, tehdit aktörlerinin en azından Mayıs 2025’in başından beri birden fazla kritik kuruluştan ödün vermesini sağladı.
NCSC’nin devam eden soruşturmasına göre, saldırganlar faaliyetlerini gizlemek için aktif eser silme de dahil olmak üzere ileri teknikler kullandılar ve adli analizi özellikle zorlaştırdı.
Hedef kritik Hollanda altyapısı
Güvenlik açığı 25 Haziran 2025’te Citrix tarafından kamuya açıklandı ve yamalandı, ancak sömürü bunu önceden sıfır gün olarak sınıflandırdı.
Yamaya rağmen, NCSC, saldırganlar, tehlikeye atılan cihazlar üzerinde uzaktan kumanda sağlayan kötü niyetli web kabukları gibi mekanizmalar yoluyla kalıcı erişimi koruyabileceğinden, sadece güncelleme sistemlerinin riskleri azaltmak için yetersiz olduğunu vurgulamaktadır.
Citrix NetScaler, yük dengeleme, güvenli uzaktan erişim ve uygulama teslimi için kritik bir ağ cihazı olarak hizmet eder, genellikle çalışanların kurumsal intranetlere ve bulut ortamlarına bağlanmasını sağlayarak uzaktan çalışmayı kolaylaştırır.
İstismar edilen güvenlik açığı olan CVE-2025-6543, yetkisiz uzaktan kod yürütülmesine izin verir ve potansiyel olarak saldırganlara kalıcı arka kapı erişimini sağlayan web kabuklarının konuşlandırılmasına yol açar.
NCSC’nin araştırması, etkilenen sistemlerdeki bu web mermilerinin kanıtlarını ortaya çıkardı ve saldırganlar kasıtlı olarak tespitten kaçınmak için günlükleri ve diğer göstergeleri sildi.
Bu, hangi kuruluşların sızan kaldığı ve ağlardaki veri açığa çıkma veya daha fazla yanal hareket dahil olmak üzere, uzlaşmaların tam kapsamı konusunda önemli bir belirsizlik ile sonuçlanmıştır.
CVE-2025-6543’e ek olarak, ilgili güvenlik açıkları CVE-2025-5349 ve CVE-2025-5777, Hollanda genelinde ve uluslararası savunmasız Citrix dağıtımlarında tanımlanmıştır, ancak tüm maruz kalan sistemler sömürüldüğü şekilde doğrulanmamıştır.
NCSC, potansiyel olarak etkilenen taraflara proaktif olarak ulaşmıştır ve yamalar uygulanmış olsa bile Citrix ürünlerini kullanan tüm kuruluşları kapsamlı iç araştırmalar yürütmeye çağırır.
Devam eden soruşturmalar
Olayların zaman çizelgesi, bu kampanyanın uzun süren doğasının altını çiziyor: ilk sömürüler Mayıs 2025’e kadar uzanıyor, tespitler Haziran ve Temmuz aylarına kadar yükseldi ve Ağustos ayına kadar izlemeye devam etti.
Rapora göre, NCSC’nin olay müdahale ekipleri, etkilenen kuruluşlar ve güvenlik ortakları ile işbirlikçi çabaları, enfeksiyonların tanımlanmasına yardımcı olmak için paylaşılan yeni uzlaşma göstergeleri (IOCS) vermiştir.
Bununla birlikte, ajans, saldırganın izleme taktiklerinin, olayın kurbanların tam listesi, devam eden aktör faaliyeti ve toplam etki gibi bazı yönleri anlamına geldiğine dikkat çekiyor.
Bu belirsizlik, saldırıların atfedilmesindeki zorlukları vurgulamaktadır, ancak yöntemler, casusluk veya bozulmaya odaklanan bir veya daha fazla yetenekli tehdit aktörlerinin, muhtemelen devlet destekli veya ileri süren tehditlerin (APT’ler) dahil edilmesini önermektedir.
Savunmaları desteklemek için NCSC, derinlemesine bir savunma stratejisinin benimsenmesini, ağ segmentasyonu, çok faktörlü kimlik doğrulama, anormal davranış için sürekli izleme ve düzenli adli denetimler gibi katmanlı güvenlik kontrollerini birleştirmenizi şiddetle tavsiye eder.
Bu kampanya ile ilgili IOC’leri keşfeden kuruluşlar, ayrıntılı uzlaşma değerlendirmeleri yapmalı ve yardım için NCSC’nin sertifika ekibine başvurmalıdır.
Bu olay, Citrix Netscaler gibi yaygın olarak kullanılan altyapıdaki sıfır gün istismarlarının yaygın ihlallere yol açabileceği gelişen tehdit manzarasının kesin bir hatırlatıcısı olarak hizmet ediyor.
Dayanıklılık önlemlerine öncelik vererek, kuruluşlar sadece bu özel tehdide değil, benzer uzaktan erişim ve uygulama dağıtım sistemlerindeki gelecekteki güvenlik açıklarına da daha iyi dayanabilirler.
NCSC, bu kalıcı risklerin ortasında kolektif siber güvenlik duruşunu geliştirmek için bilgi paylaşımını vurgulayarak araştırmalarına devam ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!