Hollanda Ulusal Siber Güvenlik Merkezi (NCSC-NL), Citrix Netscaler ADC ürünlerini ülkedeki organizasyonları ihlal etmek için yakın zamanda açıklanan kritik güvenlik kusurundan yararlanan siber saldırılara uyuyordu.
NCSC-NL, Hollanda’daki birkaç kritik örgütü hedefleyen CVE-2025-6543’ün sömürülmesini keşfettiğini ve etkinin kapsamını belirlemek için soruşturmaların devam ettiğini söyledi.
CVE-2025-6543 (CVSS skoru: 9.2), NetScaler ADC’de, cihazlar bir ağ geçidi (VPN sanal sunucu, ICA Proxy, CVPN, RDP proxy) veya AAA sanal sunucusu olarak yapılandırıldığında istenmeyen kontrol akışı ve hizmet reddi (DOS) ile sonuçlanan kritik bir güvenlik açığıdır.
Güvenlik açığı ilk olarak Haziran 2025’in sonlarında açıklandı ve aşağıdaki sürümlerde yayınlandı –
- NetScaler ADC ve NetScaler Gateway 14.1 14.1-47.46’dan önce
- NetScaler ADC ve NetScaler Gateway 13.1 13.1-59.19’dan önce
- 13.1-37.236-fips ve NDCPP’den önce NetScaler ADC 13.1-FIPS ve NDCPP
30 Haziran 2025 itibariyle, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) bilinen sömürülen güvenlik açıkları (KEV) kataloğuna CVE-2025-6543 eklendi. Aynı üründeki bir başka kusur (CVE-2025-5777, CVSS skoru: 9.3) de geçen ay listeye yerleştirildi.
NCSC-NL, faaliyeti, sofistike bir tehdit oyuncusunun çalışması olarak tanımladı, güvenlik açığının Mayıs 2025’in başından beri-kamuya açıklanmadan neredeyse iki ay önce sıfır gün olarak kullanıldığını ve saldırganların uzlaşmayı gizlemek için izleri silmek için adımlar attığını ekledi. Sömürü 16 Temmuz 2025’te keşfedildi.
Ajans, “Soruşturma sırasında Citrix cihazlarında kötü niyetli web mermileri bulundu.” Dedi. “Bir web kabuğu, bir saldırgana uzaktan erişim sağlayan bir haydut kodudur. Saldırgan bir güvenlik açığını kötüye kullanarak bir web kabuğu yerleştirebilir.”
CVE-2025-6543’ten kaynaklanan riski azaltmak için, kuruluşların en son güncellemeleri uygulamaları ve aşağıdaki komutları çalıştırarak kalıcı ve aktif oturumları sonlandırmaları tavsiye edilir-
- ICAConnection’ı Öldür -All
- Pcoipconnection’ı öldür -All
- AAA Oturumunu Öldür -All
- RDP Bağlantısını Öldür -All
- net lb kalıcılıkları
Kuruluşlar ayrıca, CVE-2025-6543’ün sömürülmesi ile ilişkili uzlaşma göstergelerini avlamak için NCSC-NL tarafından sunulan bir kabuk betiği de çalıştırabilir.
NCSC-NL, “Citrix NetScaler sistem klasörlerinde farklı bir .php uzantısı olan dosyalar, istismarın bir göstergesi olabilir.” Dedi. “NetScaler’da yeni oluşturulan hesapları ve özellikle artan haklara sahip hesapları kontrol edin.”