Hollanda Ulusal Siber Güvenlik Merkezi (NCSC-NL), Citrix Netscaler cihazlarında sıfır gün güvenlik açığı yoluyla kritik altyapıyı hedefleyen sofistike siber saldırılar hakkında acil bir uyarı yayınladı.
CVE-2025-6543 olarak adlandırılan güvenlik açığı, Mayıs 2025’in başından beri aktif olarak sömürüldü ve Hollanda’daki birkaç kritik kuruluştan başarıyla tehlikeye atıldı.
Citrix NetScaler ADC ve Gateway Systems, kurumsal ortamlar için yük dengeleyicileri ve güvenli uzaktan erişim noktaları olarak işlev gören önemli ağ altyapı bileşenleri olarak hizmet vermektedir.
Bu cihazlar, dahili ağlara ve uygulamalara güvenli erişim sağlayarak çalışanların uzaktan çalışmasını sağlar.
Saldırganlar, kuruluşların dahili ağlarını korumak için güvendiği çevre savunmalarına erişim kazandıklarından, tehlikeye atılan sistemler önemli bir güvenlik ihlalini temsil ediyor.
Nationaal Siber Güvenlik Merkezi (NCSC-NL) analistleri, 16 Temmuz 2025’te kötü niyetli faaliyetleri belirleyerek birden fazla Hollanda kuruluşunda aktif sömürü kanıtlarını keşfetti.
Soruşturma, tehdit aktörlerinin Citrix’in 25 Haziran 2025’te yamalar yayınlamasından aylarca daha önce bilinmeyen bu kırılganlıktan yararlandığını ortaya koydu.
Bu zaman çizelgesi saldırıları, Hollandalı siber güvenlik yetkilileri tarafından gözlemlenen en sofistike tehditlerden birini temsil eden sıfır gün istismarları olarak doğrulamaktadır.
Saldırganlar, adli izleri aktif olarak silerek, soruşturma ve ilişkilendirmeyi son derece zorlaştırarak gelişmiş yetenekler gösterdiler.
Bu kasıtlı kanıt yıkımı, yüksek vasıflı tehdit aktörlerinin önemli kaynaklara ve operasyonel güvenlik bilinci ile katılımını göstermektedir.
Gelişmiş kalıcılık ve kaçınma mekanizmaları
Sömürü tekniği, tehlikeye atılan NetScaler cihazlarına kötü niyetli web kabuklarının dağıtılmasını ve ilk güvenlik açığı yamaları uygulandıktan sonra bile kalıcı uzaktan erişim sağlamayı içerir.
NCSC araştırmacıları, saldırganların sistem dizinlerine şüpheli özelliklere sahip PHP dosyaları yerleştirdiklerini, genellikle algılamayı önlemek için farklı uzantılara sahip yinelenen dosya adlarını kullanarak keşfettiler.
Kuruluşlar, olağandışı oluşturma tarihleri veya yinelenen adları olan anormal PHP dosyaları için sistem klasörlerini inceleyerek potansiyel uzlaşmayı tespit edebilir.
NCSC, uzlaşma göstergelerini (IOCS) tanımlamaya yardımcı olmak için GitHub depolarında algılama komut dosyaları yayınladı.
kill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessionsBu komutlar, saldırganların kullanabileceği kalıcı oturumları sonlandırmak için güvenlik güncellemeleri uygulandıktan sonra yürütülmelidir.
NCSC, tehlikeye atılan sistemlerin saldırgan erişimini koruyabileceğinden, kapsamlı adli araştırma ve iyileştirme çabaları gerektirdiğinden, tek başına yama yapmanın yetersiz olduğunu vurgulamaktadır.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın