Güvenlik araştırmacısı Kevin Beaumont, şirketin yamalar yayınlanmasından aylar önce aktif olarak sıfır gün saldırısı olarak kullanılan kritik bir Citrix NetScaler güvenlik açığı olan CVE-2025-6543 hakkında endişe verici ayrıntılar açıkladı.
Citrix’in başlangıçta basit bir “hizmet reddi” kırılganlığı olarak küçümsediği şey, dünya çapında hükümeti ve yasal hizmetleri tehlikeye atan sofistike bir uzaktan kod yürütme kusuru olduğu kanıtlanmıştır.
Sıfır Gün Kampanyası Global Altyapı
NCSC Hollanda’nın araştırmalarına göre, saldırganların bellek taşma saldırıları yoluyla uzaktan kod yürütülmesine izin veren güvenlik açığı, en azından Mayıs 2025’in başından beri aktif sömürü altında.
.webp)
Citrix sadece 25 Haziran 2025’te yamalar yayınladı, yani tehdit aktörlerinin kırılganlık kamuoyu bilgisi haline gelmeden önce eşleştirilmemiş sistemlerden yararlanmak için ayları vardı.
Anahtar saldırı özellikleri şunları içerir:
- NetScaler uç noktasına gönderilen kötü amaçlı istemci sertifikaları
/cgi/api/loginYüzlerce sonrası istek yoluyla. - Bellek parçalarının üzerine yazmak ve keyfi kod yürütmek için tasarlanmış bellek taşma saldırıları.
- Yama yaptıktan sonra bile aktif kalan kalıcı web kabuklarının ve arka fırınların dağıtılması.
- Adli araştırmaları karmaşıklaştırmak için saldırı izlerinin aktif olarak silinmesi.
- CVE-2025-5777 (Citrixbleed 2) dahil olmak üzere aynı anda çoklu citrix güvenlik açıklarının sömürülmesi.
Saldırı metodolojisi, NetScaler uç noktasına kötü amaçlı istemci sertifikalarının gönderilmesini içerir /cgi/api/login Bellek parçalarının üzerine yazmak ve keyfi kod yürütmek için tasarlanmış yüzlerce sonrası istek aracılığıyla.
Bunu özellikle endişelendiren şey, saldırganların yama yaptıktan sonra bile aktif kalan kalıcı web kabukları ve arka fırınlar kullanması ve tehlikeye atılan ağlara sürekli erişim sağladıklarıdır.
NCSC Hollanda, “Hollanda’daki birkaç kritik örgütün başarıyla saldırıya uğradığını” bildirdi, adli soruşturmalar saldırganların, olay müdahale çabalarını karmaşıklaştırmak için faaliyetlerinin izlerini aktif olarak sildiğini ortaya koydu.
Aynı tehdit aktörleri, kullanıcı oturumlarını çalmak ve çok faktörlü kimlik doğrulamayı atlamak için CVE-2025-5777 (Citrixbleed 2) dahil olmak üzere birden fazla Citrix güvenlik açıkından da yararlanıyor gibi görünüyor.
Yaygın etki, zayıf yanıt
Bu kampanyanın kapsamı, devlet kurumları, hukuk hizmetleri ve dünya çapında bu saldırılara kurban düşen kritik altyapı kuruluşları ile ilk tahminlerin çok ötesine uzanmaktadır.
Uzaklaştırılmış sistemler, Active Directory ortamlarına yanal hareket için başlatma noktaları olarak kullanılmıştır ve saldırganlar ağ erişimlerini genişletmek için LDAP hizmet hesabı kimlik bilgilerini kötüye kullanır.
Etki Değerlendirmesi:
- Devlet kurumları, hukuk hizmetleri ve kritik altyapı kuruluşları dünya çapında tehlikeye atıldı.
- Çalınan LDAP Service Hesabı Kimlik Bilgileri Kullanarak Active Directory Ortamlarına Yanal Hareket.
- İnternete dönük NetScaler cihazları, güvenlik endişeleri nedeniyle 2023’ün sonlarından bu yana yarıya düştü.
- Müşteriler, tehdit istihbaratı için Citrix yerine devlet kurumlarına giderek daha fazla güveniyorlar.
- Citrix’ten algılama komut dosyaları isteyen müşterilere kısıtlayıcı koşullar.
Citrix’in krize verdiği tepki güvenlik uzmanlarından keskin bir eleştiri aldı. Şirket, müşterilere sadece talep üzerine ve kısıtlayıcı koşullar altında algılama komut dosyaları sağladı ve güvenlik açığının gerçek ciddiyetini ve kapsamını iletemedi.
Bu şeffaflık eksikliği, müşterilerin uzlaşma durumlarını düzgün bir şekilde değerlendirememesini veya yeterli savunma önlemlerini uygulayamamasını sağladı.
Shodan’ın güvenlik telemetrisi, internete dönük NetScaler cihazlarının 2023’ün sonlarından bu yana yarı yarıya düştüğünü gösteriyor ve bu da kuruluşların devam eden güvenlik endişeleri nedeniyle platformu terk ettiğini gösteriyor.
Durum o kadar sorunlu hale geldi ki, müşteriler doğru tehdit zekası için Citrix yerine hükümet siber güvenlik ajanslarına ve bağımsız araştırmacılara giderek daha fazla güveniyorlar.
Citrix NetScaler Systems’ı çalıştıran kuruluşların altyapılarını korumak için derhal harekete geçmeleri gerekmektedir.
Güvenlik uzmanları, şüpheli yayın istekleri için web erişim günlüklerini kontrol etmenizi öneririz. /cgi/api/login Son noktalar, özellikle geçersiz istemci sertifikalarını gösteren hata kodu 1245184 ile birlikte olanlar.
Kritik yanıt önlemleri şunları içerir:
- Şüpheli yayın istekleri için web erişim günlüklerini kontrol edin
/cgi/api/loginuç noktalar. - NetScaler günlüklerinde geçersiz istemci sertifikalarını gösteren 1245184 hata kodu arayın.
- Uzlaşma şüphesi varsa hemen etkilenen NetScaler cihazlarını etkiledi.
- GitHub’da bulunan NCSC Hollanda algılama komut dosyalarını kullanarak adli görüntüleme yapın.
- İlişkili LDAP Hizmet Hesabı Kimlik Bilgilerini değiştirin.
- Değiştirme sistemlerini onarımları denemek yerine yeni kimlik bilgileriyle dağıtın.
NCSC Hollanda, kuruluşların uzlaşma göstergelerini belirlemelerine ve uygun olay yanıtı vermelerine yardımcı olmak için GitHub’da kapsamlı algılama senaryoları ve adli araçlar yayınladı.
Sömürü belirtileri keşfeden kuruluşlar, etkilenen NetScaler cihazlarını hemen güçlendirmeli, adli görüntüleme yapmalı, ilişkili tüm LDAP hizmet hesabı kimlik bilgilerini değiştirmeli ve değiştirme sistemlerini yeni kimlik bilgileriyle dağıtmalıdır.
Kriz, platform son aylarda birden fazla sıfır gün istismarına maruz kaldığı için NetScaler güvenliğiyle ilgili daha geniş sistemik sorunları vurgulamaktadır.
Tehdit aktörleri “ürünün etrafında halkaları düzenli olarak çalıştırmak” ve Citrix’in yeterli şeffaflık sağlayamamasıyla, kuruluşların kritik altyapılarını devam eden saldırılardan korumak için alternatif uzaktan erişim çözümlerini dikkate almaları gerekebilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!