.webp?w=696&resize=696,0&ssl=1 "Hackerlar aktif olarak sömürülen vahşi doğada sitrixbleed 2 güvenlik açığı")
Araştırmacılar, CVE-2025-5777 olarak adlandırılan ve “Citrixbleed 2” olarak adlandırılan Citrix NetScaler cihazlarında kritik bir bellek açıklama güvenlik açığını hedefleyen yaygın sömürü girişimleri gözlemlediler.
Bu ön kimlik doğrulama kusuru, saldırganların etkilenen NetScaler ADC ve ağ geçidi cihazlarından inisiyatifsiz belleği sızdıran kötü niyetli istekler oluşturmalarını sağlar ve potansiyel olarak oturum belirteçleri, şifreler ve yapılandırma değerleri de dahil olmak üzere hassas verileri ortaya çıkarır.
Güvenlik açığı, dünya çapında kuruluşlardan derhal güvenlik yanıtlarına yol açmış ve kavram kanıtı açıklamasından sonraki günler içinde 200.000’den fazla tarama denemesi tespit edilmiştir.
Key Takeaways
1. CVE-2025-5777 affects Citrix NetScaler devices, allowing unauthenticated attackers to leak sensitive memory data including session tokens and passwords.
2. Over 200,000 scanning attempts were detected targeting vulnerable endpoints, indicating widespread threat actor activity.
3. Attackers send crafted requests with large User-Agent headers to trigger continuous memory leaks from the same target.
4. Organizations must immediately patch affected NetScaler versions and implement Akamai's protective rules due to public exploit availability.
Sitrixbleed 2 güvenlik açığı (CVE-2025-5777)
Citrixbleed 2 güvenlik açığı, Citrix NetScaler cihazlarının kimlik doğrulama işlevinde uygunsuz bellek işlemesinden kaynaklanmaktadır.
Kusur, yetersiz giriş validasyonu ve kimlik doğrulama mantığında eksik hata işleme ile birlikte başlatılmamış bir giriş değişkeni kullanır.
Temel kod, değişkenleri otomatik olarak başlatmayan C/C ++ ile yazıldığından, saldırganlar önceki işlemlerden kalan veriler içeren rastgele yığın belleğe erişebilir.
Güvenlik açığı, 14.1-43.56’dan önce NetScaler ADC ve Gateway 14.1, 13.1-58.32’den önce sürüm 13.1, NetScaler ADC 13.1-fips ve NDCPP’den önce 13.1-37.235-fips ve Netscaler ADC 12.1-FIPS’den önce 12.1-FIPS’den önce birden fazla NetScaler sürümünü etkiler.
Saldırı, /p/u/doauthentication.do URL yolunu hedefler ve kimlik doğrulama gerektirmez, bu da onu tehdit aktörleri için özellikle erişilebilir hale getirir.
Saldırganlar, keşif, numaralandırma ve tekrarlanan sömürü girişimlerini içeren sistematik bir yaklaşım yoluyla bu güvenlik açığını kullanırlar.
Saldırı, maruz kalan Citrix NetScaler örnekleri için tarama ile başlar ve ardından savunmasız hedefleri tanımlamak için versiyon doğrulaması ile başlar.
Gerçek istismar, /p/u/doauthentication.do uç noktasına, tanınabilir desenler içeren alışılmadık derecede büyük bir kullanıcı-ajanı başlığı ile hazırlanmış posta istekleri gönderilmesini içerir.
Teknik “sitrixbleed” takma adını kazandı, çünkü saldırganlar aynı yükler göndererek bellek sızıntılarını tekrar tekrar tetikleyebilir ve her girişim yeni yığın belleği parçalarını ortaya çıkarır.
Büyük boyutlu kullanıcı ajanı üstbilgisi, daha sonra içinde görünen yığın içine “thr-waf-araştırma” gibi ayırt edici belirteçler enjekte eder.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | -NetScaler ADC ve NetScaler Gateway 14.1 14.1-43.56’dan önce 13.1-58.32- NetScaler ADC 13.1-fips ve NDCPP’den önce 13.1-FIPS’den önce 13.1-fips ve ndcpp-netscaler ADC 12.1-fips ve ndcpp ve ndcpp ve ndcpp’den önce 12.1-fips ve |
| Darbe | Kenissiz yığın belleğinin bellek ifşası |
| Önkoşuldan istismar | – Kimlik doğrulama gerekmez (ön plana doğrulama kusuru)- Hedef NetScaler cihazına ağ erişimi- HTTP Post isteklerini gönderme yeteneği- Hedef uç nokta: /p/u/doauthentication.do- Önceden önceki koşullar veya özel ayrıcalıklar gerekmez |
| CVSS 3.1 puanı | 7.5 (yüksek) |
Azaltma önlemleri
Akamai’nin güvenlik ekibi, Tehdia Rapid Kural 3000967’yi APP & API koruyucu platformları aracılığıyla yayınlayarak yanıt verdi.
Başlangıçta 7 Temmuz 2025’te bir “uyarı” eylemi ile konuşlandırılan kural, doğrulamadan sonraki gün “inkar” statüsüne yükseltildi.
Güvenlik araştırmacıları, 8 Temmuz 2025’ten itibaren önemli tarama faaliyetleri gözlemledi ve 200.000’den fazla sonrası talep, birden çok ana bilgisayar adında ve IP adresinde savunmasız uç noktayı hedeflediler.
Bu büyük ölçekli tarama, potansiyel sömürü için savunmasız NetScaler örneklerini tanımlamak için organize girişimleri temsil etmektedir.
Kuruluşlara, etkilenen cihazlara derhal yama yapmaları ve uzlaşma göstergeleri için ek izleme uygulamaları tavsiye edilir, çünkü güvenlik açığının onaylama öncesi niteliği ve kamu kavram kanıtı kullanılabilirliği önemli risk maruziyeti yaratır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi