Citrix NetScaler ADC ve Gateway’de yakın tarihli bir güvenlik açığı, kimlik doğrulanmamış saldırganların savunmasız cihazlardan kimlik doğrulama oturum çerezlerini kaçırmasına izin veren eski bir sömürülen kusura benzerliğinden sonra “Citrixbleed 2” olarak adlandırılır.
Geçen hafta, Citrix, 14.1-43.56’dan önce NetScaler ADC ve ağ geçidi sürümlerini etkileyen CVE-2025-5777 ve CVE-2025-5349 olarak izlenen kusurlar hakkında bir güvenlik bülten uyarısı yayınladı, 13.1-58.32’den önce serbest bırakıldı ve 13.1-37.235-fips ve 2.-f.
CVE-2025-5777, sınır dışı bellek okumasından kaynaklanan kritik bir kusurdur ve kimlik doğrulanmamış saldırıların, erişmemesi gereken bellek kısımlarına erişmesine izin verir.
Bu kusur, ağ geçidi (VPN sanal sunucusu, ICA proxy, istemcisiz VPN (CVPN), RDP proxy) veya bir AAA sanal sunucusu olarak yapılandırılan NetScaler cihazlarını etkiler.
Siber güvenlik araştırmacısı Kevin Beaumont, kusurun fidye yazılımı ve hükümet saldırıları da dahil olmak üzere tehdit aktörleri tarafından yoğun bir şekilde sömürülen meşhur ‘sitrixbleed’ güvenlik açığını (CVE-2023-4966) yansıttığını söyledi.
Beaumont, CVE-2025-5777’yi ‘Citrixbleed 2’ olarak nitelendirdi, bu da kusurun saldırganların potansiyel olarak oturum belirteçlerine, kimlik bilgilerine ve kamuya bakan ağ geçitlerinden ve sanal sunuculardan diğer hassas verilere erişmesine izin verebileceğini belirtti.
Sızan jetonlar, kullanıcı oturumlarını ele geçirme ve çok faktörlü kimlik doğrulama (MFA) atlayabilir.
Aynı güvenlik bülteninde CVE-2025-5349 olarak izlenen ikinci, yüksek şiddetli bir kusur listesi.
Bu, NetScaler Management Arabiriminde uygunsuz bir erişim kontrol sorunudur, eğer saldırganın NSIP (NetScaler Management IP), küme yönetimi IP veya yerel GSLB sitesi IP’ye erişimi varsa kullanılabilir.
Her iki riski de ele almak için, kullanıcıların DC ve NetScaler Gateway 14.1-43.56, 13.1-58.32 ve daha sonraki, 13.1-NDCPP 13.1-37.235 (FIPS) ve 12.1-55.328 (FIPS) yüklemeleri önerilir.
Citrix, bu kusurların aktif olarak sömürülüp sömürülmediğini belirtmemiş olsa da, yöneticilerin tüm cihazlar güncellenir tüm aktif ICA ve PCOIP oturumlarını sonlandırmasını önerirler. Bu tavsiye Citrix tarafından orijinal sitrixbleed kusurları hakkında da verildi.
Aktif oturumları öldürmeden önce, yöneticiler önce şüpheli etkinlik için mevcut oturumları gözden geçirmelidir. show icaconnection komuta ve NetScaler Gateway > PCOIP > Bağlantılar PCOIP oturumlarını görmek için.
Aktif oturumları inceledikten sonra, yöneticiler bu komutları kullanarak feshetmelidir:
kill icaconnection -all
kill pcoipconnection -allBir LinkedIn postasında, Mantiant CTO Charles Carmakal, cihazların artık savunmasız olmadıktan sonra bile daha önce çalınan oturumların kullanılmasını önlemek için cihazları güncelledikten sonra oturumları öldürmenin gerekli olduğu konusunda uyarıyor.
Carmakal, “Birçok kuruluş, 2023’te benzer bir güvenlik açığını (CVE-2023-4966 aka” Citrix Bleed “) iyileştirirken oturumları sonlandırmadı.”
“Bu durumlarda, şirketler yamadan önce oturum sırları çalındı ve seanslar yamadan sonra kaçırıldı. Bu tavizlerin çoğu ulus-devlet casusluğu veya fidye yazılımı konuşlandırmasıyla sonuçlandı.”
Kusurlar ayrıca yaşam sonu ADC / Gateway 12.1 (FIPS) ve ADC / Gateway 13.0’ı yamalar almayacaktır. Hala bu sürümleri kullananlar, mümkün olan en kısa sürede aktif olarak desteklenen bir sürüme yükseltilmelidir.
Beaumont’un İnternet taramaları, kamuya açık NetScaler ADC ve Gateway uç noktalarının 56.500’den fazla geri dönüşü, ancak bunların yüzde kaçı CVE-2025-5349 ve CVE-2025-5777’ye karşı savunmasız sürümleri çalıştırıyor.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.