Citrix NetScaler Güvenlik Açığı ve Etkileri
Hollanda’nın Ulusal Siber Güvenlik Merkezi (NCSC), CVE-2025-6543 olarak takip edilen kritik bir Citrix NetScaler güvenlik açığının, ülkedeki “kritik kuruluşlar” üzerinde istismar edildiğini bildirdi. Bu güvenlik açığı, cihazlarda istenmeyen kontrol akışına yol açan veya hizmet kesintisi durumu yaratabilen bir hafıza taşması hatasıdır.
NCSC, bu tür bir güvenlik açığının etkisi altında kalan cihazlara karşı uygulanan siber saldırıların yoğun olduğunu belirtiyor. Bu açıklamada, “Hafıza taşması açığı, NetScaler ADC ve NetScaler Gateway’in, Gateway (VPN sanal sunucu, ICA Proxy, CVPN, RDP Proxy) veya AAA sanal sunucu olarak yapılandırıldığında, istenmeyen kontrol akışına ve Hizmet Kesintisi durumlarına yol açmaktadır” deniliyor.
Vulnerable Versions
Citrix, 25 Haziran 2025 tarihinde bu güvenlik açığı hakkında bir bülten yayımlayarak, aşağıdaki versiyonların sürekli saldırılara açık olduğunu duyurdu:
- 14.1 sürümü 14.1-47.46’dan önce
- 13.1 sürümü 13.1-59.19’dan önce
- 13.1-FIPS ve 13.1-NDcPP sürümü 13.1-37.236’dan önce
- 12.1 ve 13.0 sürümleri → Sonlandırılmış ancak hâlâ savunmasız
Başlangıçta, bu açığın yalnızca Hizmet Kesintisi (DoS) saldırıları için istismar edileceği düşünülüyordu, ancak NCSC’nin uyarısı artık saldırganların bunu uzaktan kod yürütme amacıyla kullandığını açıklıyor. NCSC’nin uyarısı, bu açığın kullanılarak ülkedeki birçok varlığın ihlal edildiğini, ardından saldırılara dair izlerin silindiğini doğruluyor.
Saldırılar ve İleri Düzey Yöntemler
NCSC, “Hollanda’daki çok sayıda kritik kuruluş, Citrix NetScaler’da tanımlanan CVE-2025-6543 güvenlik açığı aracılığıyla başarılı bir şekilde saldırıya uğramıştır.” demekte. “NCSC, bu saldırıları bir veya daha fazla gelişmiş yöntemle çalışan aktörlerin eseri olarak değerlendirmektedir. Güvenlik açığı, sıfırıncı gün (zero-day) olarak istismar edildi ve etkilediği kuruluşlarda gizliliği sağlamak için izler aktif olarak silindi.” ifadeleriyle durumu özetliyor.
Bu saldırıların en azından mayıs ayı başlarından beri gerçekleştiği belirtiliyor. Citrix, kendi güvenlik bültenini yayımlayana kadar uzaktan erişim sağlandığı ve izlerin silindiği açıkça vurgulanmakta. Yalnızca NCSC uyarısından sonra Hollanda Kamu Prokurorluğu (OM), kendi sistemlerinde bir ihlalin tespit edildiğini açıkladı ve operasyonel çalışmalarında ciddi kesintiler yaşandı.
Önerilen Çözümler ve Güncellemeler
CVS-2025-6543’ten kaynaklanan riski ortadan kaldırmak için kuruluşların aşağıdaki güncellemeleri yapmaları önerilmektedir:
- NetScaler ADC ve NetScaler Gateway 14.1, 14.1-47.46 versiyonuna ve sonrası
- 13.1, 13.1-59.19 versiyonu ve sonrası
- ADC 13.1-FIPS ve 13.1-NDcPP için 13.1-37.236 ve sonrası
Güncellemeleri yükledikten sonra, aktifleştirilmiş oturumların sonlandırılması kritik öneme sahiptir. Bunun için şu komutlar kullanılmalıdır:
- kill icaconnection -all
- kill pcoipConnection -all
- kill aaa session -all
- kill rdp connection -all
- clear lb persistentSessions
Bu aynı önleme tavsiyeleri, aktif olarak istismar edilen Citrix Bleed 2 güvenlik açığı için de geçerliydi. Ancak, bu açığın saldırılarda kullanılıp kullanılmadığı ya da her iki açığın da aynı güncelleme sürecine sahip olup olmadığı belirsiz.
Tehdit Belirleme ve Önleme Stratejileri
NCSC, sisteme yöneticilerine, olağandışı dosya oluşturma tarihleri, farklı uzantılarla tekrar eden dosya isimleri ve klasörlerde PHP dosyalarının olmadığı gibi ihlal izlerine dikkat etmelerini öneriyor. Siber güvenlik ajansı, ayrıca, GitHub üzerinden cihazları olağandışı PHP ve XHTML dosyalarını taramak için kullanılabilecek bir script yayımlamıştır.
Siber güvenlik tehditlerine karşı hassas olan kuruluşların, bu tür haberleri takip etmeleri ve gerekli güncellemeleri yapmaları büyük önem taşımaktadır. Güvenlik açıklarının hızlı bir şekilde belirlenmesi ve önlenmesi, veri güvenliği ve organizasyonların operasyonlarının sürekliliği açısından hayati öneme sahiptir.
