Giriş
Son günlerde Citrix NetScaler altyapısını hedef alan organize bir keşif kampanyası, siber güvenlik topluluğunda önemli bir alarm yaratmıştır. Bu durum, siber tehditlerin nasıl evrildiğini ve mevcut sistemlerin her zaman izlenmesi gerektiğini bir kez daha gözler önüne sermektedir.
Saldırı Nasıl Çalışıyor?
Geçtiğimiz hafta boyunca, 63,000’den fazla farklı IP adresi kullanılarak Citrix NetScaler ürün serisinin giriş panelleri keşfedilmiştir. Araştırmalar, bu trafiğin %64’ünün ev kullanıcılarına ait proxy’lerden, %36’sının ise tek bir Azure IP adresinden geldiğini göstermektedir. *GreyNoise* platformuna göre, bu etkinlik, rastgele internet taramasından ziyade önceden planlanmış bir keşif çabasını göstermektedir.
Saldırının en belirgin iki göstergesi şunlardır:
- 63,189 benzersiz IP’den gelen 109,942 seansla, ‘/logon/LogonPoint/index.html’ adresindeki kimlik doğrulama arayüzü hedef alınmıştır.
- 1 Şubat’ta, ‘nsepa_setup.exe’ dosyası üzerinden Citrix versiyonları tanımlama yahut belirlemek için yapılan hızlı bir tarama gerçekleştirilmiştir.
Etkilenen Sistemler
Son dönemlerde, Citrix ürünlerini etkileyen kritik güvenlik açıkları arasında şu CVE kodları öne çıkmaktadır:
- CVE-2025-5777: ‘CitrixBleed 2’ olarak bilinen bir güvenlik açığıdır.
- CVE-2025-5775: Uzaktan kod yürütme zafiyeti; bu açık, sıfırıncı günü (zero-day) istismar eden bir tehlikeyi ortaya çıkarmaktadır.
Bu açıklar, siber tehdit aktörlerinin hedef alabileceği noktaları oluşturmaktadır.
Çözüm ve Korunma
Bu tür saldırılara karşı koyabilmek için aşağıdaki adımları almanız önerilmektedir:
- Yetkisiz kaynaklardan gelen blackbox-exporter kullanıcı ajanını izleyin.
- /epa/scripts/win/nsepa_setup.exe adresine dışarıdan erişim üzerine alarm oluşturun.
- /logon/LogonPoint/ yollarının hızlı bir şekilde sorgulanmasını dikkate alın
- Citrix Gateway uç noktalarına yönelik HEAD isteklerini takip edin.
- Özellikle Chrome 50 (2016 civarı) parmak izi ile güncel olmayan tarayıcıları izleyin.
Ayrıca, sistem yöneticilerinin internetten erişilebilir Citrix Gateway’lerin gerekliliğini gözden geçirmeleri, /epa/scripts/ dizinine erişimi kısıtlamaları ve HTTP yanıtlarında versiyon ifşasını devre dışı bırakmaları önerilmektedir.
Aksiyon
Sistem yöneticileri için en önemli adımlar güncellemeleri zamanında uygulamak ve güvenlik açıklarını veya anormal erişimleri tespit etmek için sistemlerini sürekli izlemede tutmaktır. Ayrıca, Citrix Gateways’lerin internetten erişimini kısıtlayarak olası saldırılara karşı hazırlıklı olunmalıdır.
