
Citrix NetScaler Cihazlarındaki kritik kusur, dünya çapında büyük organizasyonları sakatlayan Infamous 2023 güvenlik ihlalini yansıtıyor.
Citrix NetScaler Cihazlarındaki yeni kritik güvenlik açığı, güvenlik uzmanlarına, 2023’te organizasyonları rahatsız eden yıkıcı “sitrixbleed” saldırılara endişe verici paralellikler çekerek potansiyel yaygın sömürü konusunda uyarıyor.
CVE-2025-5777 olarak izlenen ve “Citrixbleed 2” olarak adlandırılan güvenlik açığı, saldırganların hassas bilgileri doğrudan cihaz belleğinden çalmasına ve potansiyel olarak çok faktörlü kimlik doğrulama ve kullanıcı oturumlarını ele geçirmesine izin verir.
WatchTower Labs araştırmacıları tarafından açıklanan güvenlik açığı analizi, bellek sızıntısı güvenlik açığının, uzaktan erişim ağ geçitleri olarak yapılandırılmış NetScaler ADC ve NetScaler ağ geçidi cihazlarını etkilediğini göstermektedir.
Kritik bir CVSS şiddet skoru 9.3 ile güvenlik açığı, kimlik doğrulama isteklerini işlerken bellek aşırı okumasına yol açan yetersiz giriş doğrulamasından kaynaklanmaktadır.
Orijinal sitrixbleed güvenlik açığı (CVE-2023-4966), fidye yazılımı grupları ve ulus-devlet aktörleri tarafından yoğun bir şekilde kullanıldı ve 36 milyon müşteriyi etkileyen Boeing ve Comcast’in Xfinity hizmetine yönelik saldırılar da dahil olmak üzere yüksek profilli ihlallere yol açtı.
Aktif sömürü şüpheli
Siber güvenlik firması Reliaquest, güvenlik açığının hedeflenen saldırılarda zaten kullanılmadığını gösteren “orta güven” göstergeleri gözlemlediklerini bildirdi.
Kanıtlar, kullanıcı bilgisi olmadan kimlik doğrulamasının verildiği ve başarılı çok faktörlü kimlik doğrulama baypasını gösteren kaçırılmış Citrix Web oturumlarını içerir.
Araştırmacılar, şüpheli IP adresleri arasında oturumun yeniden kullanılması, Active Directory keşifleriyle ilişkili LDAP sorguları ve Adexplorer64.exe aracının birden fazla örneği, tehlikeye atılan ortamlara dağıtılan. Saldırganlar, ihlal sonrası keşif yaparken faaliyetlerini maskelemek için tüketici VPN hizmetlerini kullanıyor gibi görünüyor.
Gözetleme Kulesi Labs analizi, güvenlik açığının sömürüsünün şaşırtıcı derecede basit olduğunu ortaya koymaktadır. Saldırganlar, uygun parametre değerleri olmadan Citrix Ağ Geçidi Oturum Açma Uç Noktasına hatalforlanmış bir HTTP isteği göndererek, cihazın belleğinden hassas veriler içeren başlatılmamış değişkenleri ortaya çıkaran bir bellek sızıntısını tetikleyebilir.

Araştırmacılar, “Buradaki kaputun altında olan şey, klasik bir C-dili yaramazlık vakası” dedi. “Arka uç ayrıştırıcısı, daha önce bellekte depolanan verileri içeren, potansiyel olarak oturum belirteçleri ve diğer hassas bilgiler de dahil olmak üzere, bizi başlatılmamış bir yerel değişkeni geri veriyor”.
Güvenlik açığı, saldırganlar HTTP yayın istekleri gönderdiğinde ortaya çıkar. /p/u/doAuthentication.do
Yataklı giriş parametreleri ile uç nokta. Bellek değişkenlerini düzgün bir şekilde başlatmak yerine, sistem daha önce bellekte saklanan kalıntı verileri döndürür ve CWE-457’nin bir ders kitabı örneği oluşturur: başlatılmamış değişkenin kullanımı.
“Citrixbleed 2” takma adını icat eden güvenlik araştırmacısı Kevin Beaumont, 50.000’den fazla potansiyel olarak savunmasız NetScaler örneklerinin Shodan aramalarına dayanarak internete maruz kaldığını belirtti. Shadowserver Vakfı, 17 Haziran’daki Citrix’in düzeltmelerine rağmen, Haziran 2025’in sonundan itibaren 1.200’den fazla aletin açılmadığını keşfetti.
Citrix, desteklenen sürümler için güvenlik güncellemeleri yayınladı ve kuruluşları hemen yükseltmeye teşvik ediyor.
Şirket, potansiyel oturumların kaçırılmasını önlemek için yama yaptıktan sonra tüm aktif ICA ve PCOIP oturumlarının sonlandırılmasını önerir. Yaşam sonu sürümleri 12.1 ve 13.0’ı çalıştıran kuruluşlar, güvenlik yamaları almayacağından desteklenen sürümlere yükseltilmelidir.
Yamalar mevcut olduktan aylarca kullanılmaya devam eden orijinal sitrixbleed saldırıların ciddi etkisi göz önüne alındığında, güvenlik uzmanları kuruluşların yama çabalarını geciktiremeyeceğini vurgulamaktadır.
Güvenlik açığının selefine benzerliği, kurumsal ağlara ilk erişim arayan siber suçlular için muhtemelen tercih edilen bir araç olacağını gösteriyor.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi