Citrix Bleed 2 Açığı Hakkında Bilgiler
Citrix Bleed 2, CVE-2025-5777 olarak da bilinen ve 9.3 şiddet derecesi ile değerlendirilen kritik bir açık. Bu güvenlik açığı, yetersiz girdi doğrulaması nedeniyle oluşmakta ve saldırganların NetScaler cihazlarına произходит giriş denemeleri sırasında bozuk POST istekleri göndermesine olanak tanımaktadır. Özellikle, “login=” parametresindeki eşit işaretinin atlanması, cihazın 127 bayt bellek sızıntısı yapmasına neden olmaktadır. Horizon3 ve WatchTowr araştırmacıları, bu açıktan yararlanarak hassas verilerin, özellikle geçerli oturum belirteçlerinin açığa çıkarılabileceğini göstermiştir.
Bu oturum belirteçleri, Citrix oturumlarının ele geçirilmesine ve yetkisiz erişim sağlanmasına olanak tanımaktadır. Güvenlik araştırmacısı Kevin Beaumont, NetScaler günlüklerinde /doAuthentication.do için tekrarlanan POST isteklerinin bu açığı istismar etmeye yönelik bir belirti olduğunu belirtmektedir. Özellikle, “Content-Length: 5” başlığı içeren istekler dikkat çekicidir.
Citrix’in Yanıtı ve Güncellemeleri
Citrix, CVE-2025-5777 açıkları konusunda ilk başta aktif bir saldırı olmadığını öne sürdü. Ancak GreyNoise’ın tespitlerine göre, 23 Haziran 2025 tarihinde Çin kaynaklı IP adresleri üzerinden saldırı gerçekleştirilmeye başlandı. GreyNoise, bu durumu 7 Temmuz’da etiketleme yaparak takip etmeye başladı. Böylece, daha önce gerçekleşen istismar girişimleri de GreyNoise Visualizer üzerinde görünür hale geldi.
9 Temmuz’da ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), açığın aktif olarak istismar edildiğini belirledikten sonra bu durumu Bilinen İstismar Edilen Açıklar (KEV) kataloğuna ekledi. Citrix, bu durum karşısında hala güvenlik uyarılarına yeterince dikkat etmedi. 11 Temmuz’da blog yazısını güncelleyerek yalnızca birkaç bilgi eklemekle yetindi.
Citrix, 15 Temmuz’da NetScaler günlüklerini incelerken dikkat edilmesi gereken belirti ve ipuçlarını içeren başka bir blog yazısı yayımladı. Ancak, bu güncellemeye rağmen, şirketin güvenilirliği ve şeffaflığı konusunda eleştiriler devam etti.
İstismar Belirtileri ve Önlemler
Citrix, kullanıcılara ICA ve PCoIP oturumlarını sonlandırma talimatı verirken, Beaumont, başka oturum türlerinin de göz önünde bulundurulması gerektiğinin altını çizmektedir. Önerilen komutlar arasında, kill icaconnection -all, kill pcoipConnection -all, kill rdpConnection -all, kill sshConnection -all, kill telnetConnection -all, kill connConnection -all, ve kill aaa session -all yer almaktadır.
Yönetici kullanıcılarının oturumları sonlandırmadan önce tüm oturumları incelemeleri, şüpheli girişleri araştırmaları oldukça önemlidir. Citrix’in 15 Temmuz’daki blog yazısında, istismara dair bazı belirtiler de paylaşılmıştır. Bu belirtiler arasında, günlük kaydında şu mesajların yer alması dikkat çekmektedir:
- “Authentication is rejected for”
- “AAA Message”
- ASCII dışı bayt değerleri (0x80–0xFF)
VPN günlüklerinde istemci IP adresi ile kaynak IP adresi arasındaki tutarsızlığın, oturumun ele geçirildiğine işaret edebileceği belirtilmektedir. Beaumont’un güncel yazılarında, Haziran ayından itibaren 120’den fazla şirketin bu açık nedeniyle kompromize olduğunu belirtmektedir.
Sektörel Etkiler ve Çözüm Yolları
Citrix’in kendi Web Uygulama Güvenlik Duvarı, CVE-2025-5777 açıklarını tespit edemediğini belirtiyor. Ancak Imperva, kendi ürünlerinin bu açığı istismar etmeye yönelik 11.5 milyonun üzerinde girişimin tespit edildiğini bildirdi. İlgili girişimlerin %40’nın finansal sektörden olduğunu belirtmektedir.
Citrix, NetScaler ADC ve Gateway sürümleri için yamalar yayımlamış ve müşterilerine hemen yükseltme yapmaları konusunda uyarıda bulunmuştur. EOL (Sonlandırılmış Destek) versiyonlarını kullanan müşterilerin desteklenmeyen sürümlere geçiş yapmaları gerektiği vurgulanmaktadır.
Sonuç olarak, CVE-2025-5777 açığı, Citrix kullanıcıları açısından büyük bir tehdit oluşturmaktadır. İşletmelerin bu tür güvenlik açıklarını göz ardı etmemeleri ve gerekli önlemleri acilen almaları gerekmektedir. Yükseltme ve yamalama işlemlerinin bir an önce gerçekleştirilmesi, siber saldırılara karşı alınabilecek en etkili önlemlerin başında gelmektedir.
