Citrix NetScaler’daki Kritik Güvenlik Açığı
Son zamanlarda, Citrix NetScaler ADC ve Gateway‘de kritik bir güvenlik açığı ortaya çıktı. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu açığı Known Exploited Vulnerabilities (KEV) kataloğuna ekledi ve söz konusu güvenlik açığının kötüye kullanıldığına dair kanıtları resmi olarak onayladı. Bu açık CVE-2025-5777 kodu ile tanımlanıyor ve CVSS puanı 9.3 olarak belirlenmiş. Yetersiz girdi doğrulaması, saldırganların bu açığı kullanarak kimlik doğrulamasını atlamasına olanak tanıyor.
Açığın Teknik Detayları
CISA’ya göre, Citrix NetScaler ADC ve Gateway, yetersiz girdi doğrulaması sebebiyle out-of-bounds read vulnerabilitesine sahip. Bu durum, NetScaler cihazı bir Gateway (VPN sanal sunucusu, ICA Proxy, CVPN, RDP Proxy) veya AAA sanal sunucu olarak yapılandırıldığında bellek aşımına neden olabiliyor. Açığın etkileri oldukça ciddi, çünkü bu tür cihazlar genellikle VPN‘ler, proxy’ler veya diğer hizmetler için merkezi giriş noktaları olarak kullanılıyor.
Kritik Başka Bir Açık Daha Aktif Olarak Kullanılıyor
CVE-2025-5777’nin yanında, aynı ürün için başka bir güvenlik açığı CVE-2025-6543 da aktif bir şekilde kötüye kullanılıyor. Bu açığın CVSS puanı 9.2 olarak kaydedildi ve CISA tarafından KEV kataloğuna 30 Haziran 2025 tarihinde eklendi. Akamai, “Citrix Bleed” teriminin kullanılmasının sebebini, hatanın hatırlatıcı olması ve her seferinde yeni bir bellek yığını dahil etmesiyle tanımlandı. Bu durum, hassas verilerin sızmasına yol açıyor.
Açığın Etkilediği Ülkeler ve Hedefler
Son 30 günde, kötüye kullanım faaliyetlerinin çoğu Bulgaristan, ABD, Çin, Mısır ve Finlandiya‘daki 10 tane kötü niyetli IP adresinden geldiği bildirildi. Bu saldırıların hedefinde ise genellikle ABD, Fransa, Almanya, Hindistan ve İtalya bulunuyor. Kevin Beaumont, yaptığı bir araştırmada, bu açığın ortalama olarak Haziran ortalarından itibaren kullanılmaya başlandığını vurguladı. Özellikle, belirli IP adreslerinin RansomHub fidye yazılımıyla bağlantılı olduğu bilgisi dikkat çekiyor.
Alınması Gereken Önlemler
Bu tür güvenlik açıkları büyük tehditler oluşturduğundan, organizasyonların söz konusu açığı önlemek adına yamanmış sürümlere geçiş yapmaları şart. Citrix tarafından 17 Haziran’da yayınlanan kılavuzda, kullanılacak yamanın 14.1-43.56 ve sonrasındaki sürümler olduğu belirtildi. Yamanın ardından, özellikle AAA veya Gateway üzerinden kimlik doğrulaması yapılmış tüm aktif oturumların zorla sonlandırılması öneriliyor.
Güvenlik Loglarının Kontrolü
Yönetici ve IT ekipleri, logları (örneğin, ns.log) kontrol ederek şüpheli talepleri tespit etmeli. Özellikle /p/u/doAuthentication.do gibi kimlik doğrulama uç noktalarına yapılan isteklerin yanı sıra, beklenmedik XML verilerini içeren yanıtlara dikkat edilmeli. Zira bu açık, geleneksel zararlı yazılım izleri bırakmıyor. Saldırganlar, bu tür bir bellek aşımını kullanarak oturum çalma ve seans tekrar oynatma gibi sonuçlara ulaşabilirler.
Gelecekteki Tehditler
Bu gelişmenin yanı sıra, OSGeo GeoServer üzerindeki başka bir kritik güvenlik açığı (CVE-2024-36401) için kötüye kullanımların gerçekleştiği bildirildi. Bu açık, NetCat ve XMRig kripto para madencilik yazılımının kurulmasına yol açıyor ve Güney Kore‘yi hedef alıyor. CISA, bu açığı da KEV kataloğuna Temmuz 2024’te ekledi.
Bu tür durumlar, kurumsal ortamların ne kadar savunmasız olduğunu gösteriyor ve hızla yayılabilen kötü niyetli yazılımlara karşı dikkatli olunması gerektiğini vurguluyor. Bu nedenle, kullanıcıların sistemlerini düzenli olarak güncellemeleri ve güvenlik protokollerini sıkı bir şekilde takip etmeleri son derece önemlidir.
