Kritik sitrixbleed 2 güvenlik açığı (CVE-2025-5777) için yeni yayınlanmış bir kavram kanıtı (POC), siber güvenlik topluluğu aracılığıyla şok dalgaları gönderdi ve uzmanlar Citrix Netscaler ADC ve geçit cihazlarını kullanan kuruluşlar için yakın kitle sömürü riskleri konusunda uyardı.
Güvenlik Açığı: Citrixbleed 2 (CVE-2025-5777)
2023’teki kötü şöhretli sitrixbleed kusuruna benzer bir benzerliği nedeniyle “Citrixbleed 2” olarak adlandırılan CVE-2025-5777, sınır dışı bir bellek okuma güvenlik açığıdır.
Kimlik doğrulanmamış saldırganların, doğrudan etkilenen cihazların anısına doğrudan doğrulama jetonları da dahil olmak üzere hassas bilgileri çıkarmasına izin verir.
Kullanılansa, saldırganlar çok faktörlü kimlik doğrulama (MFA), kullanıcı oturumlarını ele geçirebilir ve kritik sistemlere yetkisiz erişim sağlayabilir.
Kusur, özellikle bir ağ geçidi (VPN Virtual Server, ICA Proxy, CVPN, RDP Proxy) veya AAA sanal sunucusu olarak yapılandırılmış Citrix NetScaler ADC ve ağ geçidi cihazlarını etkiler. Güvenlik açığı, kritikliğinin altını çizerek CVSS skoru 9.3 ile derecelendirilmiştir.
POC çıktı
Güvenlik araştırmacıları, başlangıçta teknik ayrıntıları stopaj yaptıktan sonra, savunucuların ve saldırganların bir sistemin savunmasız olup olmadığını doğrulamasına izin veren bir POC yayınladılar.
Serbest bırakma, vahşi sömürü raporları ve Citrix müşterilerinin önemli bir kısmı açılmamış kalıyor.
Uzmanlar, şeffaflığın ve kuruluşların kendini değerlendirme yeteneğinin, özellikle uzlaşma (IOC’ler) göstergelerinin minimum paylaşımı ve satıcılar ve endüstri organları tarafından algılama artefaktları göz önüne alındığında, kötü niyetli aktörleri sağlama risklerinden daha ağır bastığını savunmaktadır.
Saldırı nasıl çalışır
- Saldırganlar, Citrix Gateway Oturum Açma uç noktasına özel olarak hazırlanmış bir HTTP post isteği göndererek oturum açma parametresini bir bellek sızıntısını tetikleyecek şekilde değiştirir.
- Sunucu, bir XML yapısı ile yanıt verir.
Korunmasızsa, başlatılmamış bellek verileri içerecek olan etiket. - Tekrarlanan istekler sonunda hassas oturum belirteçlerini sızdırabilir ve potansiyel olarak saldırganların oturumları kaçırmasına ve MFA’yı atlamasına izin verebilir.
Gerçek Dünya Etkisi
- Aktif sömürü: Güvenlik firmaları, Citrix cihazlarını hedefleyen şüpheli faaliyet ve oturum kaçırma girişimlerini gözlemlediler ve saldırganlar ilk erişim için kusurdan yararlanmaya çalışıyorlar.
- Potansiyel sonuçlar: Uzaklaştırılmış sistemler, sağlık ve finans gibi kritik sektörler de dahil olmak üzere veri ihlallerine, fidye yazılımı saldırılarına ve operasyonel aksamalara yol açabilir.
Azaltma ve tespit
- Hemen yama: Citrix, desteklenen sürümler için güvenlik güncellemeleri yayınladı. Yaşam sonu sürümlerini çalıştıran kuruluşların gecikmeden yükseltilmesi istenir.
- Aktif oturumları sonlandırın: Yama yaptıktan sonra, oturum kaçırmayı önlemek için tüm aktif ICA ve PCOIP oturumları sonlandırılmalıdır.
- Tespit: Yalnızca oturum açma parametresi (değer veya eşit işaret yok) ile bir yayın isteği göndermek ve
Yanıtta güvenlik açığı durumunu belirlemeye yardımcı olabilir. Boş olmayan bir değer maruz kalmayı gösterir.
Güvenlik liderleri, bir POC’nin yayınlanmasının, devam eden sömürü ile birleştiğinde, yaygın saldırılar riskini önemli ölçüde artırdığını vurgular.
Kuruluşlardan bunu acil bir durum olarak ele almaları istenir – Citrixbleed 2’nin bir sonraki kurbanı olmaktan kaçınmak için sistemleri derhal doldurur, doğrulayın ve izler.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt