Güvenlik araştırmacıları, Citrix NetScaler ADC’de ve “Citrixbleed2” olarak adlandırılan ağ geçidi cihazlarında kritik bir güvenlik açığı olan CVE-2025-5777 için kavram kanıtı istismarları yayınladılar.
Kusur, kimlik doğrulanmamış saldırganların, çok faktörlü kimlik doğrulamasını atlamak için kullanılabilecek oturum jetonları da dahil olmak üzere, cihaz belleğinden hassas verileri çıkarmasına izin verir.
Güvenlik Açığı Detayları ve Etki
CVE-2025-5777, ağ geçidi (VPN sanal sunucusu, ICA proxy, CVPN, RDP proxy) veya AAA sanal sunucuları olarak yapılandırılmış NetScaler cihazlarını etkileyen 9.3 CVSS skoru olan bir bellek açıklama güvenlik açığıdır.
Güvenlik açığı, özellikle uygun parametreler olmadan hatalı giriş istekleri gönderildiğinde, HTTP sonrası istek işlemesinde yetersiz giriş validasyonundan kaynaklanır.
İstismar, giriş parametresinin eşit bir işaret veya değer olmadan gönderildiği özel hazırlanmış isteklerle /p/u/doauthentication.do uç noktasını hedefleyerek çalışır.
Bu, NetScaler cihazının, oturum belirteçleri, kimlik bilgileri ve diğer hassas bilgileri içerebilen istek başına yaklaşık 127 bayt keyfi bellek verisi ile yanıt vermesine neden olur.
Kavram kanıtı istismarlar
İki güvenlik firması, güvenlik açığının şiddetini gösteren çalışma istismarları yayınladı:
WatchTowr Labs başlangıçta “Citrix Netscaler kullanıcı tabanının önemli bir kısmının” henüz güvenlik açığını yamaladığını gözlemledikten sonra 4 Temmuz 2025’te bir güvenlik açığı analizi ve kavram kanıtı yayınladı.
Analizleri, saldırganların basit HTTP isteklerini kullanarak bellek içeriğini çıkarmak için savunmasız uç noktaları nasıl tekrar tekrar sorgulayabileceğini göstermektedir.
Horizon3.AI, 7 Temmuz 2025’te NetScaler Memory’den meşru kullanıcı oturumu jetonlarının başarılı bir şekilde çıkarılması göstererek daha ayrıntılı bir istismar yayınladı.
Araştırmaları, saldırganların tüm NetScaler örnekleri için “NSROOT” kullanıcısı da dahil olmak üzere hem normal kullanıcılara hem de idari hesaplara ait jetonları yakalayabileceğini gösteriyor.
Güvenlik açığı, snprintf işlev uygulamasındaki bir kusuru %.*S format dizesi ile kullanır. Uygun biçimlendirme olmadan bir giriş isteği gönderildiğinde, sistem ilk null karakterine kadar intihalize edilmemiş bellek içeriği ile yanıt verir.
Saldırganlar, değerli veriler çıkarılana kadar bellek içeriğine yavaşça “kanama” için tekrar tekrar kötü biçimlendirilmiş istekler göndererek bu işlemi otomatikleştirebilir.
Her istek yaklaşık 127 bayt veri verir ve başarılı sömürü, MFA korumalarını atlarken tam sistem erişimine izin veren oturum jetonlarını ortaya çıkarabilir.
Birden fazla güvenlik firması, Haziran 2025’in ortalarından bu yana aktif sömürü kanıtı bildirmiştir.
Reliaquest, saldırganların hedeflenen ortamlara ilk erişim elde etmek için CVE-2025-5777’yi aktif olarak kullandıklarını “orta güven” ile belirtti.
Citrix başlangıçta sömürü kanıtını reddetse de, güvenlik araştırmacıları arasındaki fikir birliği, kırılganlığın aktif olarak hedeflenmesidir.
Etkilenen sistemler ve yama
Güvenlik açığı aşağıdaki NetScaler sürümlerini etkiler:
- NetScaler ADC ve NetScaler Gateway 14.1 14.1-43.56’dan önce
- NetScaler ADC ve NetScaler Gateway 13.1 13.1-58.32’den önce
- 13.1-37.235-fips ve NDCPP’den önce NetScaler ADC 13.1-FIPS ve NDCPP
- NetScaler ADC 12.1-FIPS 12.1-55.328-fips
Güvenlik araştırmacıları, Citrixbleed2’nin, Lockbit 3.0 ve ulus-devlet aktörleri dahil fidye yazılım grupları tarafından kapsamlı bir şekilde sömürülen orijinal sitrixbleed güvenlik açığı (CVE-2023-4966) ile benzer bir sömürü modelini takip edebileceği konusunda uyarıyor.
Güvenlik açığı, saldırganların kalıcı erişim oluşturmasını, arka kapı hesapları eklemesini ve sistem yapılandırmalarını değiştirmesini sağlar.
Kuruluşlar, birden fazla IP adresinden sistemlere erişen tek kullanıcılar ve anormal derecede uzun sürelere sahip oturumlar da dahil olmak üzere olağandışı oturum etkinliğini izlemelidir. Yazdırılamayan karakterleri içeren günlük girişleri de sömürü girişimlerini gösterebilir.
Citrix, etkilenen tüm sürümler için yamalar yayınladı ve kuruluşların hemen güncellemeleri uygulamaları isteniyor çünkü hiçbir geçici çözüm veya hafifletme mevcut değil.
Yama yaptıktan sonra, yöneticiler tüm etkin ICA ve PCOIP oturumlarını sonlandırmalı ve şüpheli etkinlik için mevcut kullanıcı oturumlarını denetlemelidir.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.