Yönetişim ve Risk Yönetimi, Yama Yönetimi, Güvenlik Açığı Değerlendirmesi ve Penetrasyon Testi (VA/PT)
Saldırganlar arasında fidye yazılımı grubu Citrix Netscaler Kusurdan yararlanmaya odaklandı
Mathew J. Schwartz (Euroinfosec) •
14 Temmuz 2025
Saldırganlar, geçen ay ilk olarak açık bir şekilde bir kusuru düzeltmek için açılmamış kalan sömürülebilir Citrix NetScaler cihazlarını bulmak için toplu girişimlerini artırdılar.
Ayrıca bakınız: Yeni Siber Güvenlik Raporlama Gereksinimlerine Hazırlık
Tarama etkinliği, CVEIX NetScaler ADC ve Gateway Cihazlarında, CVE-2025-5777 olarak izlenen ve 9.3 CVSS skoru atanan, “kritik” hale getiren bir ön kimlik doğrulaması uzaktan bellek açıklama güvenlik açığı bulmaya odaklanmış gibi görünmektedir (bakınız: Saldırganlar aktif olarak istismar ‘Citrix Bleed 2’ Güvenlik Açığı).
Bulut Güvenlik Grubu, 17 Haziran’da CVE-2025-5777’yi düzeltmek için bir yama yayınladı.
“CVE-2025-5777’nin açıklanmasından bu yana, dünya çapında potansiyel olarak savunmasız Citrix NetScaler örneklerini hedefleyen artan saldırı faaliyetlerini gözlemledik.” Dedi. “Saldırganlar, maruz kalan cihazlar için kapsamlı bir şekilde tarıyor ve hassas verileri hassasiyete yönelik bellek sızıntısı güvenlik açığından yararlanmaya çalışıyor gibi görünüyor.”
Imperva’nın tehdit araştırma ekibinden Gabriella Sharadin ve Avidan Reich, saldırganlar bunu “savunmasız bir Citrix uç noktasına özel olarak hazırlanmış HXTXPX istekleri göndererek” yapabilir.
Cuma günü, firma, finansal hizmetler sektörünü hedefleyen çabaların% 40’ı ile “binlerce siteyi hedefleyen 11,5 milyondan fazla saldırı denemesi” gördüğünü bildirdi. “Bu saldırıların birçoğu fırsatçı, internetin büyük bölümlerini gelişigüzel taramak için otomatik araçlardan yararlanıyor” dedi.
CISA aktif istismarları onaylar
Perşembe günü, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, bilinen sömürülen güvenlik açıklarının kataloğuna CVE-2025-5777 ekledi. Ajans ayrıca, federal sivil ajansların kusuru yaması veya etkilenen ürünleri yamalanana kadar kullanmayı geçici olarak durdurması için sadece 24 saatlik bir son tarih belirledi, bu da teknolojiyi kullanan herhangi bir kuruluşa uzanan tavsiye.
Devam eden internet taramalarına dayanarak, İngiliz güvenlik araştırması Kevin Beaumont, Cumartesi günü sosyal platform Mastodon’a yaptığı bir yazıda,% 13’ü 7 Temmuz’dan itibaren açılmadan% 13’ü açılmamış olan 18.000 internete bağlı NetScaler cihazını bulduğunu söyledi.
Beaumont, CVE-2023-4966 olarak izlenen 2023 güvenlik açığına paralel olarak nasıl paralel olarak poz verdiği göz önüne alındığında, CVE-2025-5777 “Citrix Bleed 2” lakaplı. Açık olmak gerekirse, kusurların doğrudan bağlı olduğunu düşünmüyor. Aksine, bir cihazın ağ geçidi veya AAA sanal sunucusu olarak hizmet verecek şekilde yapılandırılması koşuluyla, yetkisiz bellek okumalarını kolaylaştırmak ve saldırganların oturum jetonlarını çalmasını sağlamak için her ikisi de kullanılabilir.
Cloud Security Group, 17 Haziran’da Patch CVE-2025-5777’de güncellemeler yayınladığında, müşterilere şunları söyledi: “Etkilenen NetScaler ADC’yi çalıştıran kullanıcıların bir ağ geçidi olarak yapılandırılmış (VPN sanal sunucusu, ICA proxy, cvpn, RDP Proxy) veya AA erdual sunucusu hemen önerilen araları yüklemesini şiddetle tavsiye ediyoruz.” Şirket, “mevcut herhangi bir azaltma yok” ve ayrıca “güvenlik açıklarını web uygulaması güvenlik duvarı imzalarıyla düzeltmek mümkün olmadığını” da sözlerine ekledi.
Yama yaptıktan sonra CSG, yöneticilerin saldırganların çalıntı oturum çerezlerini kullanarak tekrar giriş yapabilme yeteneğini engellemek için tüm aktif ICA ve PCOIP oturumlarını sonlandırmaları gerektiğini söyledi.
Kafa karıştırıcı bir şekilde, 25 Haziran’da CSG, CVSS skoru 9.3 ile başka bir kusur olan CVE-2025-6543 için bir yama yayınladı. Şirket, bir hizmet saldırısına neden olmak için sömürülebilen kusurları, sıfır günlük bir güvenlik açığı olarak tanımladı ve Citrix’in güvenlik uyarısını ve yamasını yayınlamadan önce sömürüldüğünü söyledi.
İstismarlar ne zaman başladı?
Saldırganlar CVE-2025-5777’den yararlanmaya başladığında açık bir soru olmaya devam ediyor.
Tehdit İstihbarat Platformu Greynoise Intelligence, geçen hafta en az 23 Haziran’a kadar istismar girişimlerinin başladığını bildirdi.
Beaumont, kuruluşların, ilk olarak Haziran ortasında ortaya çıkan bilinen sömürü faaliyetine bağlı günlüklerinin IP adreslerinde geriye dönük olarak bulunduğunu söyledi.
Yetkili, “Haziran ortasında saldırıları yürütmek için IP adreslerinden biri, geçen yıl CISA tarafından Ransomhub Fidye Yazılım Grubu ile bağlantılı – bu IP, bunları doğrulamak için bellek boşaltma ve oturum çerezlerini yeniden oynatma gözlemlendi.” Dedi. Sonuç olarak, “Zaten yama yapmış olsanız bile, son derece erken yamalanmadıkça, muhtemelen sömürü belirtilerini kontrol etmeniz gerekir.”
Güvenlik açığını bir laboratuvar ortamında Citrix NetScaler cihazlarını kullanarak test eden Beaumont, yöneticilerin herhangi bir cihazın yalnızca varsayılan günlüğü kullandıkları takdirde, daha önce günlüğü artırmadıkça tekrar temizlenecek olan varsayılan günlük araçlarını kullanıyorlarsa bir saldırgan tarafından saldırgan olup olmadığını söyleyemeyeceğini keşfetti.
Bir geri dönüş olarak, kuruluşların en azından güvenlik duvarı günlüklerini gözden geçirmelerini önerir ve kendisi ve diğer güvenlik araştırmacılarının toplanmaya ve yayınlamaya devam ettikleri bilinen uzlaşma göstergelerini ararlar.