CVE-2025-6543 olarak tanımlanan Citrix NetScaler ürünlerinde kritik bir sıfır günlük güvenlik açığı, en azından Mayıs 2025’ten beri bir yama yapılmadan aylar önce tehdit aktörleri tarafından aktif olarak sömürülmüştür.
Citrix başlangıçta “istenmeyen kontrol akışına ve hizmet reddine yol açan bir bellek taşma güvenlik açığı” olarak kusuru küçümsese de, o zamandan beri, dünya çapında hükümet ve hukuk hizmetlerinin yaygın bir şekilde uzlaşmasına yol açarak, yetkili olmayan uzaktan kod yürütmesine (RCE) izin verdiği ortaya çıktı.
Haziran 2025’in sonlarında Citrix, CVE-2025-6543 için bir yama yayınladı. Ancak, o zamana kadar, saldırganlar haftalarca güvenlik açığından yararlanıyorlardı.
İstismar, NetScaler uzaktan erişim sistemlerine sızmak, yama yaptıktan sonra bile kalıcı erişim sağlamak ve kimlik bilgilerini çalmak için web kabuklarını dağıtmak için kullanıldı.
Kanıt, Citrix’in ciddiyetin ve devam eden sömürünün farkında olduğunu, ancak müşterilerine yönelik tehdidin kapsamını açıklayamadığını gösteriyor, dedi Kevin Beaumont.
Şirket, durumu veya senaryo sınırlamalarını tam olarak açıklamadan, yalnızca talep üzerine ve kısıtlayıcı koşullar altında uzlaşmayı kontrol etmek için bir senaryo sağladı.
Hollanda Ulusal Siber Güvenlik Merkezi (NCSC), saldırıların gerçek doğasını ortaya çıkarmada çok önemli bir rol oynamıştır. Araştırmaları, kırılganlığın sıfır gün olarak kullanıldığını ve saldırganların raylarını aktif olarak kapladığını ve adli analizi zorlaştırdığını doğruladı.
Ağustos 2025’te yayınlanan NCSC’nin raporu, “Hollanda’daki birkaç kritik örgütün başarıyla saldırıya uğradığını” ve kırılganlığın en azından Mayıs ayı başından beri kötüye kullanıldığını belirtti.
İstismar nasıl çalışır
Aynı sofistike tehdit oyuncunun, kullanıcı oturumlarını çalmak için kullanılan Citrixbleed 2 olarak da bilinen başka bir sıfır gün olan CVE-2025-5777’nin sömürülmesinin arkasında olduğuna inanılıyor.
Bu aktörün daha yeni bir güvenlik açığı olan CVE-2025-7775’ten yararlanmaktan da sorumlu olup olmadığını belirlemek için soruşturmalar devam etmektedir.
CVE-2025-6543 güvenlik açığı, bir saldırganın kötü amaçlı bir istemci sertifikası sağlayarak sistem belleğinin üzerine yazmasına izin verir /cgi/api/login savunmasız bir NetScaler cihazında uç nokta.
Bu taleplerden yüzlerce göndererek, bir saldırgan sistemde keyfi kod yürütmek için yeterli belleğin üzerine yazabilir. Bu yöntem onlara ağda, çalınan LDAP hizmet hesabı kimlik bilgilerini kötüye kullanarak Active Directory ortamlarına yanal olarak taşımak için kullandıkları bir dayanak sağlar.
Güvenlik profesyonelleri, internete bakan Citrix NetScaler cihazlarını kullanan tüm kuruluşları derhal harekete geçirmeye çağırıyor.
Sistem yöneticileri, büyük yayın talepleri aramayı içeren uzlaşma belirtilerini kontrol etmelidir. /cgi/api/login Web erişim günlüklerinde, genellikle hızlı bir şekilde art arda.
Geçersiz bir istemci sertifikasını gösteren 1245184’ün karşılık gelen NetScaler Log hata kodu, bir sömürü girişiminin güçlü bir göstergesidir.
NCSC, kuruluşların canlı ana bilgisayarlarda ve Coredump dosyalarında uzlaşmayı kontrol etmelerine yardımcı olmak için GitHub’da komut dosyaları yayınladı.
Bir sistemin tehlikeye atıldığına inanılıyorsa, önerilen adımlar:
- NetScaler cihazını hemen çevrimdışı alın.
- Adli analiz için sistemi görüntüleyin.
- Yan hareketi önlemek için LDAP Hizmet Hesabı Kimlik Bilgilerini değiştirin.
- Yeni kimlik bilgileriyle yeni, yamalı bir NetScaler örneği dağıtın.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna CVE-2025-6543 ekledi ve kuruluşların kötü amaçlı faaliyet belirtileri için yamalar ve avlanma aciliyetinin altını çizdi.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.