Fortiguard Labs, Citrix Netscaler ADC (uygulama dağıtım denetleyicisi) ve ağ geçidi cihazlarını etkileyen kritik bir tampon aşırı okuma kusuru (CVE 2025-5777) olan Citrix Bleed 2’yi hedefleyen sömürü denemelerinde dramatik bir artış bildirdi.
28 Temmuz 2025’ten bu yana, çoğunlukla ABD, Avustralya, Almanya ve İngiltere’de, “öncelikle teknoloji, bankacılık, sağlık ve eğitim gibi yüksek değerli sektörlere odaklanan” 6.000’den fazla sömürü denemesi tespit ettiler.
Bu arada, Hollanda Ulusal Siber Güvenlik Merkezi (NCSC-NL), Citrix tarafından Haziran 2025’in sonlarında yamalanmış ve açıklanan başka bir NetScaler ADC güvenlik açığının (CVE-2025-6543), Mayıs 2025’in başlarında kritik, Hollandalı örgütlere karşı sofistike, hedeflenen saldırılara karşı sıfır gün korunması olarak kullanıldığını doğruladı.
Aktif CVE – 2025-6543 ve CVE – 2025-5777 Sömürü
Citrix, 25 Haziran’da CVE-2025-6543 için yamalar yayınladığında, derhal “CVE-2025-6543’ün önemsiz cihazlarda istismarlarının gözlemlendiğini”, ancak saldırganların ne için kullandığını açıklamadığını doğruladı.
Kusurun açıklaması, ağ geçidi veya AAA sanal sunucusu olarak yapılandırıldığında NetScaler ADC ve NetScaler ağ geçidinde “istenmeyen kontrol akışı ve hizmet reddine” yol açabilecek bir bellek taşma güvenlik açığı olduğunu söylüyor.
NCSC – NL’nin saldırılarla ilgili son güncellemesi, sofistike olduklarını ve saldırganların uzlaşmayı gizlemek ve adli soruşturmayı zorlaştırmak için izleri silmek için çalıştıklarını söylüyor.
NCSC-NL, “Citrix, güvenlik açığını ele almak için güncellemeler yayınladı. Güncelleme sistemleri sömürü riskini ortadan kaldırmak için yeterli değil” dedi. Yerleşik oturumları sıfırlamak da gereklidir.
“NCSC, Citrix NetScaler ADC ve NetScaler Gateway’deki güvenlik açıklarını aktif olarak araştırıyor, şu anda saldırıların kapsamı, doğası ve etkisi ile birlikte birkaç soruşturma devam ediyor. Etkilenen kuruluşlar, olay müdahale kuruluşları ve güvenlik ortakları ile birlikte, Netllands’deki diğer kuruluşların kendi soruşturmalarını yürüttüğümüz yeni göstergeleri ortaya çıkarmaya devam ediyoruz” dedi.
Kuruluşlar, kuruluşların uzlaşma göstergelerinin varlığı için sistemlerini kontrol etmek için kullanabileceği bir senaryo güncellemeye çalışıyorlar ve soruşturma ve temizleme konusunda daha fazla yardım için Ulusal Siber Güvenlik Olay Yanıt Varlıkları (CSIRT) ile iletişim kurmalarını keşfeden kuruluşlara tavsiyelerde bulundu.
NCSC-NL etkilenen kuruluşların hiçbirini tanımlamadı, ancak bir tanesini biliyoruz: Ülkenin kamu kovuşturması hizmeti, CVE-2025-5777 veya CVE-2025-6543’ün kullanıldığını belirtmese de Citrix sistemleri aracılığıyla ihlal edildiğini doğruladı.
Shadowserver Foundation, her iki sensörlerindeki güvenlik açıklarıyla ilgili sömürü girişimleri gördüğünü ve hala CVE-2025-5777 ve CVE-2025-6543’e karşı korunmasız birkaç bin açılmamış Citrix NetScaler cihazının olduğunu söylüyor.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!