Citrix, CVE-2025-6543’ün savunmasız NetScaler ağ cihazlarında kullanıldığı bazı örnekleri gözlemlerken, şirket hala CVE-2025-5349 veya CVE-2025-5777 için sömürü kanıtları olmadığını, her ikisi de bu ay daha erken bir tarihte yamalanmış olduğunu söylüyor.
Özellikle CVE-2025-5777, CVE-2023-4966, yani Citrixbleed’e benzerliği nedeniyle Infosec profesyonellerinin dikkatini çekmiştir. Sonuç olarak, CVE-2025-5777, güvenlik araştırmacısı Kevin Beaumont tarafından gayri resmi olarak “Citrixbleed 2” olarak adlandırıldı.
Hem sitrixbleed hem de sitrixbleed 2 uzaktan kumandalı saldırganların NetScaler cihazlarından bellek okumasına ve potansiyel olarak hassas aktif oturum jetonları edinmesine izin verir. Daha sonra bu oturumları ele geçirmek ve tüm kimlik doğrulama kontrollerini etkili bir şekilde atlamak için kullanılabilirler.
Başlangıçta CVE-2025-5777’nin NetScaler cihazlarının yönetim arayüzüne uygulandığı, ancak bu iddianın daha sonra NIST’in CVE açıklamasından silindiği belirtildi.
Perşembe günü, Reliaquest’in araştırmacıları, vahşi CVE-2025-5777 sömürüsüne işaret edebilecek göstergeler gözlemlediklerini söylediler.
Bu gösterge göstergeleri şunları içerir: NetScaler cihazından kaçırılmış web oturumu; Birden fazla IP’de oturumun yeniden kullanılması (hem beklenen hem de şüpheli olanlar); ve tüketici VPN hizmetleriyle ilişkili IP adreslerinden kaynaklanan Citrix oturumları.
Saldırganlar ayrıca Active Directory keşif faaliyetlerine işaret eden LDAP sorguları ve belirli araçlar (Adexplorer64.exe) kullandılar.
Diğer güvenlik kıyafetleri ya sömürü denemeleri görmediklerini ya da şimdilik bu konuda anne tuttuklarını söyledi.
Yine de, birçoğu Citrixbleed 2’nin şu anda sömürülmemiş olsa bile, çok yakında olması muhtemel olduğunu belirtti.
Ne yapalım?
Müşterilere, bu ay düzeltilen üç NetScaler güvenlik açıklarının tümü için yamaları uygulamaları ve tüm aktif ICA ve PCOIP oturumlarını sonlandırmaları tavsiye edilmiştir.
Şirket ayrıca CVE-2025-6543 sömürüsü ile ilgili uzlaşma göstergelerini paylaşmaya hazırdır ve müşterileri, Citrix Müşteri Destek Ekibiyle iletişim kurmak için “rastgele sistem kazaları da dahil olmak üzere sistem davranışlarında anomaliler gördükleri endişelerle” çağırdı.
NetScaler Mühendislik Kıdemli Başkan Yardımcısı Anil Shetty Cuma günü yaptığı açıklamada, CVE-2025-5349 ve CVE-2025-5777’nin CVE-2025-6543 ile bağlantılı olmadığını söyledi.
Censys, çevrimiçi yaklaşık 70.000 açık NetScaler Gateway ve ADC örneklerini algılar, ancak sadece küçük bir sayı (yaklaşık 135) savunmasız versiyonlar çalıştırdığını görebiliyor. Ayrıca, cihazların çoğunlukla ABD ve Avrupa’da kullanıldığı.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!