Hollanda Ulusal Siber Güvenlik Merkezi (NCSC), CVE-2025-6543 olarak izlenen kritik bir Citrix NetScaler güvenlik açığının, ülkedeki “kritik kuruluşları” ihlal etmek için kullanıldığı konusunda uyarıyor.
Kritik kusur, etkilenen cihazlarda istenmeyen kontrol akışına veya hizmet reddine izin veren bir bellek taşma hatasıdır.
Citrix’in danışmanlığı, “NetScaler ADC ve NetScaler Gateway’de istenmeyen kontrol akışına ve NetScaler Gateway’de istenmeyen kontrol akışına ve hizmet reddine yol açan bellek taşma güvenlik açığı” diye açıklıyor Citrix’in danışmanlığı.
Citrix, 25 Haziran 2025’te kusur hakkında bir bülten yayınladı ve aşağıdaki sürümlerin devam eden saldırılara karşı savunmasız olduğunu söyledi:
- 14.1 14.1-47.46’dan önce
- 13.1 13.1-59.19’dan önce
- 13.1-37.236’dan önce 13.1-fips ve 13.1-ndcpp
- 12.1 ve 13.0 → Yaşam sonu ama yine de savunmasız (düzeltme yok, daha yeni bir sürüm önerilen bir sürüme yükseltme)
Kusurun başlangıçta Hizmet Reddetme (DOS) saldırılarında kullanıldığı düşünülürken, NCSC’nin uyarısı artık saldırganların uzaktan kod yürütülmesini sağlamak için sömürdüğünü gösteriyor.
NCSC’nin CVE-2025-6543 hakkındaki uyarısı, bilgisayar korsanlarının ülkedeki birden fazla varlığı ihlal etmek için kusurdan yararlandığını ve daha sonra saldırıların kanıtlarını ortadan kaldırmak için saldırıların izlerini sildiğini doğruladı.
“NCSC, Hollanda’daki birçok kritik kuruluşun Citrix Netscaler’da CVE-2025-6543 olarak tanımlanan bir güvenlik açığı yoluyla başarıyla saldırıya uğradığını belirledi.”
“NCSC, saldırıları gelişmiş bir modus operandi ile bir veya daha fazla aktörün çalışması olarak değerlendiriyor. Güvenlik açığı sıfır gün olarak sömürüldü ve etkilenen kuruluşlarda uzlaşmayı gizlemek için izler aktif olarak kaldırıldı.”
Sıfır gün sömürüsü
NCSC’ye göre, bu saldırılar en azından Mayıs başından beri, Citrix’in bültenini yayınlamasından ve yamaları kullanılabilir hale getirmesinden yaklaşık iki ay önce gerçekleşti, bu yüzden uzun bir süre için sıfır gün olarak sömürüldüler.
Ajans, etkilenen kuruluşların hiçbirini adlandırmasa da, Hollanda’nın kamu kovuşturması hizmeti olan OpenBaar Bakanı (OM), 18 Temmuz’da bir uzlaşmayı açıkladı ve keşfin bir NCSC uyarısı aldıktan sonra geldiğini belirtti.
Organizasyon, sonuç olarak ciddi operasyonel aksamalar yaşadı, yavaş yavaş çevrimiçi geri döndü ve e -posta sunucularını sadece geçen hafta ateşledi.
CVE-2025-6543’ten gelen riski ele almak için kuruluşların NetScaler ADC ve NetScaler Gateway 14.1 sürüm 14.1-47.46 ve sonraki sürümlerine ve daha sonraki sürümlere ve ADC 13.1-fips ve 13.1-NDCPP sürüm 13.1-37.236 ve sonraki sürümlere yükseltilmeleri önerilir.
Güncellemeleri yükledikten sonra, tüm etkin oturumları aşağıdakilerle bitirmek çok önemlidir:
kill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessions
Aynı hafifletme tavsiyesi, CVE-2025-5777 olarak izlenen aktif olarak sömürülen Citrix Bleed 2 kusur için verilmiştir. Bu kusurun saldırılarda da istismar edilip edilmediği veya her iki kusur için de aynı güncelleme işlemi olup olmadığı belirsizdir.
NCSC, sistem yöneticilerine atipik dosya oluşturma tarihi, farklı uzantılara sahip yinelenen dosya adları ve klasörlerde PHP dosyalarının olmaması gibi uzlaşma belirtileri aramalarını tavsiye eder.
Siber güvenlik ajansı ayrıca GitHub’da, alışılmadık PHP ve XHTML dosyaları ve diğer IOC’ler için cihazları tarayabilen bir komut dosyası yayınladı.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.