CitrixNetScaler ADC ve Gateway’deki Son Açık: "CitrixBleed 2"
Son dönemde Citrix NetScaler ADC ve Gateway’de bulunan yeni bir güvenlik açığı "CitrixBleed 2" olarak adlandırıldı. Bu açığın, daha önceki bir açığın benzeri olması nedeniyle bu ismi aldığı belirtiliyor. Önceki açığın, kimlik doğrulama oturumu çerezlerini ele geçirmek için kimlik doğrulmayan saldırganlara imkan tanıdığı biliniyor.
Güvenlik Açıkları ve Etkilediği Sürümler
Geçtiğimiz hafta, Citrix, CVE-2025-5777 ve CVE-2025-5349 olarak kaydedilen açıklar hakkında bir güvenlik bülteni yayımladı. Bu açıklar, NetScaler ADC ve Gateway sürümleri 14.1-43.56’dan önceki ve 13.1-58.32’den önceki sürümleri etkiliyor. Ayrıca, 13.1-37.235-FIPS/NDcPP ve 2.1-55.328-FIPS sürümleri de bu açıkların kapsamına giriyor.
CVE-2025-5777 Açığı
CVE-2025-5777, bellek dışı okuma (out-of-bounds memory read) kaynaklı kritik bir güvenlik açığı olarak tanımlanıyor. Bu açık sayesinde kimlik doğrulamayan saldırganlar, erişim izni olmayan bellek alanlarına ulaşabiliyorlar. Bu durum, NetScaler cihazlarının Gateway (VPN sanal sunucu, ICA Proxy, Clientless VPN (CVPN), RDP Proxy) veya AAA sanal sunucu olarak yapılandırıldığında risk oluşturuyor.
CitrixBleed 2’nin Önemi
Siber güvenlik araştırmacısı Kevin Beaumont, CVE-2025-5777’yi "CitrixBleed 2" olarak adlandırarak, açığın kullanıcı oturum token’larına, kimlik bilgilerine ve diğer hassas verilere erişim sağlama potansiyeline sahip olduğunu belirtti. Özellikle, sızdırılan token’lar kullanılarak kullanıcı oturumları devralınabilir ve çok faktörlü kimlik doğrulamaları (MFA) bypass edilebilir.
Diğer Yüksek Şiddetli Açık: CVE-2025-5349
Aynı güvenlik bülteninde listelenen ikinci bir yüksek şiddetli açık olan CVE-2025-5349, NetScaler Yönetim Arayüzü’nde uygun olmayan erişim kontrolüyle ilgilidir. Bu açık, saldırganın NSIP (NetScaler Yönetim IP), Küme Yönetim IP veya Yerel GSLB Site IP erişimi olduğunda sömürülebilir.
Güncelleme Tavsiyeleri
Her iki açığın riskini azaltmak için, kullanıcıların NetScaler ADC ve Gateway 14.1-43.56, 13.1-58.32 ve sonrasını, 13.1-NDcPP 13.1-37.235 (FIPS) ve 12.1-55.328 (FIPS) sürümlerini yüklemeleri önerilmektedir. Citrix, bu açıkların aktif olarak istismar edilip edilmediği konusunda açıklama yapmamış olsa da, yöneticilere cihazların güncellendiği süre zarfında tüm aktif ICA ve PCoIP oturumlarını sonlandırmaları tavsiye edilmektedir.
Aktif Oturumların İncelenmesi
Yöneticilerin, aktif oturumları sonlandırmadan önce, var olan oturumları şüpheli aktivite açısından incelemeleri gerekmektedir. Bu amaçla, show icaconnection komutu ve NetScaler Gateway > PCoIP > Connections menüsü kullanılabilir. Şüpheli bir aktivite tespit edilirse, yöneticiler şu komutları kullanarak oturumları sonlandırabilirler:
kill icaconnection -all
kill pcoipconnection -all
Uzmanların Uyarıları
LinkedIn’de bir paylaşımda bulunan Mandiant CTO’su Charles Carmakal, cihazlar güncellendikten sonra oturumları sonlandırmanın önemini vurguladı. Carmakal, "2023’te benzer bir güvenlik açığıyla başa çıkarken pek çok kuruluş aktif oturumları sonlandırmadı" diyerek, daha önce çalınan oturumların, cihazlar artık güvenli hale gelse bile kullanılmaya devam edebileceği konusunda uyardı.
Eski Sürümler ve Güncelleme İhtiyacı
Bu güvenlik açıkları, sonlandırılmış olan ADC/Gateway 12.1 (non-FIPS) ve ADC/Gateway 13.0 sürümlerini de etkilemektedir. Bu sürümleri kullanmaya devam eden kurumların, mümkün olan en kısa sürede aktif olarak desteklenen bir sürüme geçmeleri gerekmektedir.
Genel Durum
Beaumont’un internet taramaları, 56,500’den fazla açık NetScaler ADC ve Gateway ucu tespit etti. Ancak, bu cihazların ne kadarının CVE-2025-5349 ve CVE-2025-5777 için risk altında olduğu henüz bilinmemektedir.
Sonuç olarak, Citrix ürünlerini kullanan kuruluşların bu güvenlik açıklarını dikkate alarak acil önlem alması, veri güvenliğini sağlamak adına hayati önem taşımaktadır.
