Siber güvenlik manzarası, gayri resmi olarak “Citrixbleed 2” olarak bilinen CVE-2025-5777 ile boğuşuyor, Citrix Netscaler ADC ve Gateway Cihazlarını etkileyen sınırsız bir bellek okuma güvenlik açığı.
Bu kusur, 2023’ten kötü şöhretli CVE-2023-4966’yı yineleyen, kimlik doğrulanmamış saldırganların /p/u/doaauthentication.do bitiş noktasına uygun HTTP Post istekleri aracılığıyla oturum belirteçleri ve kimlik doğrulama kimlik bilgileri de dahil olmak üzere hassas bellek içeriklerini sızdırmasını sağlar.
Kurumsal ağlar üzerinde kritik etki
CVSS skoru 9.3 ile güvenlik açığı, yetersiz giriş validasyonundan ve inatçı olmayan değişken kullanımından (CWE-457) kaynaklanmaktadır ve NSC_USER çerezleri gibi artık verilerin ifşa edilmesini tetikleyen, Saml Techens ve hatta idari nsroot gibi basit yükler yoluyla sömürüye izin verir.
17 Haziran 2025’te açıklanan ve kısa bir süre sonra yamalı olarak, sorun zaten aktif sömürü gördü ve CISA’nın 10 Temmuz 2025’te bilinen sömürülen güvenlik açıkları kataloğuna eklemesini istedi.
Reliaquest ve Geynoise’den araştırmacılar, RansomHub gibi fidye yazılımı gruplarıyla bağlar da dahil olmak üzere Temmuz ayı başlarına kadar uzanan saldırıları belgelediler ve Censys Scans tarafından belirlenen yaklaşık 70.000 açık örnek.
NetScaler cihazları genellikle kurumsal ortamlarda VPN ağ geçitleri, yük dengeleyicileri ve kimlik doğrulama proxy’leri olarak hizmet ettiği için bu yaygın pozlama tehdidi artırır, bu da potansiyel olarak karmaşık saldırı zincirleri olmadan oturum kaçırma ve MFA baypasına yol açar.
Azaltma stratejileri
Sağlam savunma için Splunk’tan yararlanan kuruluşlar, Citrix NetScaler için resmi Splunk eklentisi aracılığıyla NetScaler’ın denetim günlüklerini entegre edebilir ve olayların sömürü göstergelerini tespit etmesini sağlar.
Anahtar algılama sorguları, URI, yöntemi analiz etmek için Splunk’un spath ekstraksiyonlarını kullanarak, “giriş \ s*$” veya eksik yapılar gibi kalıplar için, hızlandırılmış “giriş” parametrelerine sahip olanlar gibi savunmasız uç noktaya anormal posta isteklerine odaklanır.
Gelişmiş analitikler, HTTP yöntemlerinin, URL’lerin ve başarılı bellek açıklamalarını gösteren durum kodlarının verimli sorgulanması için TSTATS kullanırken, Web veri modeline uzanırken, Oturum Kaçak Tespitleri, IP uyuşmazlıkları, MFA baypasları veya benzersiz IP’leri işaretleme yüksek riskli davranışlardan erişen kullanıcılar 5 gibi, 5 gibi 5 gibi.
Rapora göre, kimlik doğrulama anomalisi sorguları, tek istemcilerden aşırı denemeleri izleyin ve çok önemli bir şekilde, bellek sızıntısı algılamaları, yazdırılamayan karakterler için tarama taraması
Azaltma için, 14.1-43.56 veya 13.1-58.32 gibi sürümlere hemen yama yapmak esastır, ardından çalınan belirteçleri geçersiz kılmak için oturum sonlandırma komutları (örneğin, iCaconnection-All), backdoors veya konfigürasyon değişiklikleri gibi kovma sonrası eserler için denetimlerin yanı sıra.
Snort kuralı SID: 65120 dahil olmak üzere ağ tabanlı savunmalar, proaktif oturum yönetimini ve olay müdahale planlamasını vurgulamak için orijinal Citrixbleed’in hızlı silahlanmasından dersler çizerek, hatalı şekillendirilmiş talepler için imza tespiti sağlar.
Bu splunk odaklı stratejileri uygulayarak, savunucular bu aktif olarak sömürülen kırılganlığa etkili bir şekilde karşı koyabilir ve kimlik doğrulama altyapısında yaygın ihlal riskini en aza indirebilirler.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!