Yönetişim ve Risk Yönetimi, Yama Yönetimi
Citrix, iki kritik güvenlik açıkına karşı aktif saldırılara karşı koymak için yamalar yapar
Mathew J. Schwartz (Euroinfosec) •
7 Temmuz 2025
Citrix NetScaler cihazlarının yöneticileri, aktif olarak sömürülen iki güvenlik açıkını düzeltmek için hemen cihazlarını düzeltmelidir. Citrix Bleed 2 olarak adlandırılan biri, bilgisayar korsanları tarafından çok faktörlü kimlik doğrulamasını atlamak, kullanıcı oturumlarını ele geçirmek ve ekipmana yetkisiz erişim kazanmak için istismar edilebilir.
Ayrıca bakınız: Active Directory MasterClass | Bir saldırgan gibi düşün, profesyonel gibi savun
Güvenlik açıkları, eski adıyla Citrix ADC ve NetScaler Gateway, müşterilerin kendilerini yönettiği Citrix Gateway cihazları olan Müşteri tarafından yönetilen NetScaler ADC’de mevcuttur.
17 Haziran’da Citrix, CVE-2025-5777 olarak izlenen NetScaler ADC ve NetScaler Gateway 14.1, 13.1 ve Netscaler ADC’de kritik bir güvenlik açığını düzeltmek için bir yama yayınladı.
Şirket, “NetScaler ADC ve NetScaler Gateway sürümleri 12.1 ve 13.0’ın artık yaşam sonu olduğunu ve savunmasız olduğunu ve yamalı olmayacağını söyledi. Şirket, müşterilerin “cihazlarını güvenlik açıklarını ele alan desteklenen sürümlerden birine yükseltmesini” öneriyor.
Cumartesi itibariyle, İngiliz siber güvenlik uzmanı Kevin Beaumont, sosyal platform Mastodon’a yaptığı bir yazıda, taramalarının internete bağlı 18.000’den fazla Citrix sistemini saydığını ve yaklaşık dörtte birinin CVE-2025-5777’ye karşı açılmadığını söyledi.
Yeni güvenlik açığının orijinal Citrix kanamasını nasıl yansıttığı, CVE-2023-4966 olarak izlediğine benzer benzerlikler göz önüne alındığında, güvenlik açığı Citrix Bleed 2 olarak adlandırıldı (bakınız: Citrix Bleed Sustaylar arasında Netscaler uyarıyor: Seansları Öldür).
Beaumont, 24 Haziran blog yazısında, “Güvenlik açığı, bir saldırganın ağ geçidi veya AAA sanal sunucusu olarak yapılandırıldığında NetScaler’dan bellek okumasına izin veriyor – Citrix, RDP vb. Üzerinden uzaktan erişimi düşünün.” Dedi. “Büyük organizasyonda son derece yaygın bir kurulum.”
25 Haziran’da Citrix, CVSS skoru 9.3 ile başka bir kusur olan CVE-2025-6543 için bir yama yayınladı. Kusur, Citrix güvenlik uyarısını ve yamasını yayınlamadan önce kullanılmış olan sıfır gün güvenlik açığıdır.
Citrix, 26 Haziran blog yazısında, “Her iki güvenlik açığı da aynı modülleri içerse de, maruziyetler farklı.” Dedi. “CVE 2025-6543, eğer istismar edilirse, bir bellek taşma güvenlik açığına yol açabilir, bu da istenmeyen kontrol akışı ve hizmet reddi ile sonuçlanabilir. CVE 2025-5777, belleğin aşırı okunmasına yol açan yetersiz giriş doğrulamasından kaynaklanır.”
26 Haziran’da Reliaquest, saldırganların bir NetScaler cihazından bir web oturumunu ele geçirmek ve bir kullanıcının farkında olmadan kimliği doğrulamak için kusuru kullanarak, ilk erişim elde etmek için CVE-2025-5777’yi kullanmaya başladığını “orta güvenle” bildirdi.
Güvenlik uzmanları, CITRIX’in CVE-2025-5777’ye atanan 2 takma adın, güvenlik açığının ilk kez keşfetmiş olabileceğinden ziyade nasıl istismar edilebileceğini yansıttığını söyledi.
Reliaquest, “Öncüsü olduğu gibi, Citrix Bleed 2, saldırganların kimlik doğrulama verilerini bellekten çıkarmasına olanak tanıyor-bu sefer, tokenleri çalmak için sınır dışı bellek okumalarını kullanarak.” Dedi. “Bu jetonlar, saldırganların MFA’yı atlamasına ve kullanıcı oturumlarını ele geçirmesine izin vererek hassas sistemlere yetkisiz erişim sağlıyor.”
Güvenlik uzmanları, saldırıların dijital adli izler bırakabileceğini söyledi. “Günlük yapılandırmalarına bağlı olarak, girişler ns.log Yazdırılamayan karakterlerle, bir şeyin yanlış olduğunu gösteren oldukça iyi bir gösterge,
Beaumont, Citrix’in kanaması 2 güvenlik açığı şunları söylüyor: “Oturum açma sayfasını ararsanız, yanıtta bellek sızdırıyor” dedi. “Henüz bu konuda çok fazla ekstra teknik bilgi belirlemek istemiyorum – ancak hafızayı isteklerle sızdırmaya devam ederseniz, mevcut ICA oturumlarını sızdırılan bellekten yeniden kurmanın bir yolu var.”
Saldırı yüzey yönetimi firması Pazartesi günü, kuruluşların mevcut olup olmadıklarını belirlemelerine yardımcı olmak için kusura bağlı daha fazla ayrıntı yayınladı, ancak şu anda daha fazla saldırganın kusurlardan yararlanmasına yardımcı olmamak için tam bir kavram kanıtı yayınlamayı bıraktığını söyledi.
“Citrixbleed, hem belleğin açıklanmasına ve daha sonra uzaktan erişim oturumunun kaçırılmasına izin veren ciddi bir güvenlik açığı olduğu için ve iki yıl sonra, bu güvenlik açığının aldığı üretken sömürünün ardından hala sarıldığımız için,” dedi. Comcast bağları, 36m müşterileri Citrix Bleed’e etkileyen ihlal).