Güvenlik araştırmacıları, Citrix NetScaler ADC ve Gateway ürünlerini etkileyen “Citrixbleed2” adlı kritik bir güvenlik açığı için kavram kanıtı istismarları yayınladılar.
CVE-2025-5777 olarak izlenen güvenlik açığı, saldırganların istek başına 127 bayt’a kadar hassas veriyi pessat etmesine izin verir, potansiyel olarak bellek açıklama saldırıları yoluyla oturum belirteçlerini ve kullanıcı kimlik bilgilerini ortaya çıkarır.
Key Takeaways
1. CVE-2025-5777 affects Citrix NetScaler systems, allowing attackers to extract 127 bytes of sensitive data per request through memory disclosure.
2. Exploits use malformed requests to /p/u/doAuthentication.do endpoint, leaking memory contents, including session tokens and credentials.
3. Expose administrative "nsroot" tokens and capture credentials from legitimate users sharing the same memory space.
4. Apply June 2025 patches, terminate active sessions, monitor logs for anomalies, and audit configurations for unauthorized changes.
Bellek Açıklama Güvenlik Açığı
Citrixbleed2 güvenlik açığı, NetScaler Gateway özelliklerini ve AAA kimlik doğrulama mekanizmalarını işleyen NetScaler Paket Ayrıştırma Motorunda (NSPPE ikili) uygunsuz bellek yönetiminden kaynaklanmaktadır.
Patch diffs’in araştırma analizi, HTTP istek verileri ile ilgili tamponları ve bellek bölgelerini yeniden kullanmadan önce sıfırlayan yeni temizleme bölümlerini ortaya çıkardı.
Horizon3.AI raporuna göre, güvenlik açığı özellikle giriş isteklerini standart bir formatta işleyen /p/u/doauthentication.do uç noktasını hedefler.
Kritik kusur, kod yolu bir giriş form tuşunu başarıyla ayrıştırdığında, ancak ilişkili form değerlerinin mevcut olup olmadığını doğrulamadığında ortaya çıkar.
Bu, Param_2 yapısının, işlev içinde geçersiz sona eren ve saldırganların tam olarak 127 bayt keyfi veri sızmasına izin veren bitişik belleğe işaret etmesine neden olur.
İstismar, eksik form değerlerine sahip kötüleştirilmiş kimlik doğrulama isteklerinden yararlanır ve sistemin yanıtlarda istenmeyen bellek içeriğini yansıtmasına neden olur.
Bu bellek alanı, farklı kullanıcı oturumları ve idari arayüzler arasında paylaşılır ve eşzamanlı kullanıcılardan meşru kullanıcı oturumu jetonlarını ve düz metin kimlik bilgilerini yakalamayı mümkün kılar.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | -NetScaler ADC ve NetScaler Gateway 14.1 14.1-43.56- NetScaler ADC ve NetScaler Gateway 13.1’den önce 13.1-58.32- Netscaler ADC 13.1-Fips ve NDCPP’den önce 13.1-37.235-fips ve NDCPP’den önce 12.1. 12.1-55.328-fips |
| Darbe | İstek başına 127 baytın çıkarılmasına izin veren bellek açıklaması |
| Önkoşuldan istismar | – Savunmasız NetScaler uç noktasına ağ erişimi- /p/u/doauthentication.do uç nokta- eksik form değerleri ile hatalı biçimlendirilmiş HTTP isteklerini gönderme yeteneği- Sökülme için kimlik doğrulama gerekmez |
| CVSS 3.1 puanı | 9.1 (kritik) |
Etkilenen sürümler
Güvenlik açığı, Haziran 2025’te belirli yamalardan önce yayınlanan birden fazla NetScaler ürün versiyonunu etkiler.
Etkilenen sistemler, 14.1-43.56’dan önce NetScaler ADC ve Gateway 14.1, 13.1-58.32’den önceki sürüm 13.1 ve çeşitli FIPS özellikli sürümleri içerir.
Kapsam, normal kullanıcı uç noktalarının ötesine, yöneticiler tarafından kullanılan yapılandırma yardımcı programlarına kadar uzanır ve potansiyel olarak yüksek ayrı “NSROOT” oturum belirteçlerini ortaya çıkarır.
Araştırmacılar, meşru kullanıcılar sisteme erişirken, savunmasız uç noktayı sürekli olarak yok ederek istismarın etkinliğini gösterdiler.
Saldırı, NetScaler ADC örnekleri üzerinde tam kontrol sağlayan NSROOT kimlik bilgileri de dahil olmak üzere idari kullanıcılara ait oturum belirteçlerini başarıyla yakaladı.
Güvenlik açığı, aynı bellek alanı boyunca işlenen meşru giriş isteklerinden düz metin kimlik bilgilerini de ortaya koyar.
Azaltma stratejileri
Kuruluşlar, hata ayıklama günlüğü etkinleştirildiğinde NS.Log dosyalarında yazdırılamayan karakterler içeren günlük girişlerini izleyerek potansiyel sömürü girişimlerini belirleyebilir.
CISA, bilinen sömürülen güvenlik açıkları kataloğuna, vahşi doğada aktif sömürü gösteren ilgili güvenlik açığı CVE-2025-6543 ekledi.
Önerilen azaltma adımları, mevcut yamaların hemen uygulanmasını, mevcut ICA ve PCOIP oturumlarının sonlandırılması ve birden fazla IP adresinden erişen tek kullanıcılar gibi anormal etkinlikler için aktif oturumların denetlenmesini içerir.
Sistem yöneticileri, yetkisiz değişiklikleri, özellikle de arka kapı hesaplarının eklenmesini tanımlamak için farklı yardımcı programları kullanarak mevcut yapılandırmaları bilinen iyi yedeklemelerle karşılaştırmalıdır.
Güvenlik açığının orijinal sitrixbleed (CVE-2023-4966) ile benzerliği, konfigürasyon modifikasyonları ve kalıcılık mekanizmalarının kurulumu da dahil olmak üzere benzer sömürme sonrası taktikler kullanılabileceğini düşündürmektedir.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt