CVE-2025-5777 (AKA Citrixbleed 2) için POC istismarları şimdi halka açık ve Haziran ortasından bu yana kusurun aktif sömürüsü raporları ile, Citrix NetScaler ADC ve/veya ağ geçidi örneklerinin saldırganlar tarafından problandığını ve tehlikeye girip girmediğini kontrol etmelisiniz.
Citrix’in şu anki resmi çizgisi, vahşi sömürü ve paylaşılacak uzlaşma göstergelerinin hiçbir kanıtı olmadığıdır. Neyse ki, birkaç güvenlik şirketi ve araştırmacı bazıları sağladı.
CVE-2025-5777 Açık
CVE-2025-5777, yetkisiz saldırganların internete bakan, savunmasız netscaler ADC ve ağ geçidi örneklerinin hafızasından geçerli oturum tokenlerini çıkarmasına izin verebilecek, yetersiz giriş doğrulamasından kaynaklanan sınır dışı bir bellek okuma güvenlik açığıdır.
Güvenlik açığı, oturum açma sayfasına tekrar tekrar değiştirilmiş giriş istekleri göndererek kullanılabilir (yani,/p/u/doauthentication.do son nokta), WatchTowr ve Horizon3.Ai araştırmacıları tarafından açıklandığı gibi, bellek verilerini döndürecek/sızdıracak.
Her seferinde sızan veri miktarı sınırlıdır, ancak WatchTowr araştırmacılarının belirttiği gibi, “Tekrarlayın [the request] Yeterince zaman ve sonunda, değerli bir şeye inebilirsiniz, ”gibi meşru kullanıcı oturumu jetonlarının biçimine uygun dizeler gibi.
“Bu sadece normal kullanıcılar için erişilebilir uç noktalarla sınırlı değildir. Yapılandırma yardımcı programları yöneticileri Netscaler ağ geçidi uç noktaları da bu bellek alanını kullanıyor, yani bu jetonlar hırsızlığa karşı savunmasızdır,” diye ekledi Jimi Sebree ekledi ve tüm Citrix netscer ile ilişkili bir oturum almayı nasıl başardıklarını gösterdi.
Sömürü Sömürü, Mevcut Uzlaşma Göstergeleri
CVE-2025-5777 için bir yama 17 Haziran’da Citrix tarafından piyasaya sürüldü ve güvenlik açığının istismar edildiğinin ertesi hafta ortaya çıkmaya başladığını bildirdi.
Reliaquest araştırmacıları, orta güvenle değerlendirdikleri saldırıları tespit ettiler, Citrixbleed 2’den çok faktörlü kimlik doğrulamasını atlamak ve Web oturumlarını ele geçirerek çekildiler.
WatchTowr ve Horizon3.Ai araştırmacıları, güvenlik açığı ile ilgili teknik analizlerinin sonuçlarını ve Citrix NetScaler son kullanıcılarının ihlal edilip edilmediklerini belirlemelerine yardımcı olmak için potansiyel uzlaşma göstergelerinin yayınlanmasını izler.
“Soğutma sonrası faaliyetler açısından, orijinal sitrixbleed’den benzer eylemlerin alınabileceğini varsayıyoruz” dedi.
“Bu eylemler arasında arka kapı hesapları eklemek, çalışan yapılandırmanın kalıcılık mekanizmalarıyla dökülmesi ve değiştirilmesi ve uzaktan erişim yardımcı programlarının yüklenmesi yer alıyor. Bu eylemlerin her biri varsayılan günlük mekanizmalarının birçoğu tarafından yakalanıyor, ancak yönetici oturumları veya kimlik bilgileri tehlikeye girerse, giriş konfigürasyonlarının da değiştirilebileceğine dikkat edilmelidir.
Güvenlik araştırmacısı Kevin Beaumont, saldırganların savunmasız NetScaler cihazları için tarama yaptığını ve neredeyse bir aydır çalma oturumlarını söylüyor.
“Greynoise şu anda balkospot ağlarında retrospektif bir av yapıyor ve şimdiye kadar 1 Temmuz’a kadar uzanan aktiviteyi görüyor – bu, güvenlik açığı ile ilgili herhangi bir kamu teknik detayının düşmesinden önce” dedi ve saldırıların geldiği/geldiği IP adreslerinin bir listesini paylaştı.
“Haziran ayı ortalarında saldırıları yürütmek için IP adreslerinden biri, geçen yıl CISA tarafından Ransomhub Fidye Yazılım Grubu ile bağlantılı oldu” diye ekledi. “Şüpheli sömürünün güvenilmesinde bir rapor, fidye yazılımlarında yer alan e-suç grupları tarafından sıklıkla kullanılan takımların olduğunu gösteriyor.”
Yama yapmadan önce gerçekleştirilecek tehdit av adımlarını yararlı bir şekilde özetledi ve tüm kuruluşlara – sağlandıktan kısa bir süre sonra yamayı uygulayanlara bile – uzlaşma belirtilerini kontrol etmelerini tavsiye etti.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!