Citrix NetScaler’daki Kritik Güvenlik Açığı: CitrixBleed2
Son zamanlarda araştırmacılar, Citrix NetScaler cihazlarını etkileyen kritik bir güvenlik açığı için proof-of-concept (PoC) istismarları yayınladılar. Bu açık, CVE-2025-5777 olarak takip edilmekte olup “CitrixBleed2” adıyla anılmaktadır. Açığın, kullanıcı oturum token’larını kolayca çalabildiği belirtilmektedir.
CitrixBleed2 açığı, Citrix NetScaler ADC ve Gateway cihazlarını hedef almaktadır. Saldırganlar, oturum açma denemeleri sırasında yanlış biçimlendirilmiş POST istekleri göndererek bellek içeriklerini elde edebilmektedir. Açığın adı, 2023’teki orijinal CitrixBleed (CVE-2023-4966) hatasına benzerliği nedeniyle verilmiştir. Bu açık, fidye yazılımları ve hükümetlere yönelik saldırılarda kullanıcı oturumlarının ele geçirilmesine neden olmuştur.
Açığın Teknik Analizi
İlk analizler watchTowr ve daha sonra Horizon3 tarafından yayınlanmıştır. Araştırmacılar, açığın eşit işareti veya değeri olmayan bir login= parametresi içeren yanlış bir oturum açma isteği gönderilerek istismar edilebileceğini doğrulamışlardır. Bu durum, NetScaler cihazının bellek içeriğini ilk boş karaktere kadar göstermesine neden olmaktadır.
Açığın kökeni, kullanılan snprintf işlevinde ve bunun yanındaki *%.s format dizesinde yatmaktadır. Başlıkta belirtilen format, snprintf ‘ye “N karaktere kadar yaz ya da ilk boş bayta kadar ( ) dur” talimatını vermekte. Bu nedenle, her yanlış istekle birlikte daha fazla bellek verisi sızdırılmaktadır.
Horizon3‘e göre, her istek yaklaşık olarak 127 bayt veri sızdırmakta ve bu da saldırganların daha fazla bellek içeriğini almalarını sağlamaktadır. WatchTowr denemeleri başarılı olmamışken, Horizon3 açığı kullanarak oturum token’larını çalma yeteneğini göstermiştir.
Etki ve Tehdit Durumu
Citrix, bu açığın aktif olarak istismar edilmediğini öne sürmektedir. Ancak, siber güvenlik firması ReliaQuest, CVE-2025-5777‘nin saldırılarda istismar edildiğine dair kanıtların bulunduğunu belirtmiştir. Bu firma, kullanıcı oturumlarının ele geçirilmesinin arttığını gözlemlemiştir.
Güvenlik araştırmacısı Kevin Beaumont, Citrix’in açıklamalarını sorgulamış ve açığın Haziran ortasından beri aktif olarak istismar edildiğini iddia etmiştir. Beaumont, CitrixNetScaler loglarında aşağıdaki kirleticileri öne çıkarmıştır:
- doAuthentication için tekrarlanan POST istekleri
- Content-Length: 5 ile yapılan istekler
- LOGOFF içeren kullanıcı logları
Beaumont, WatchTowr ve Horizon3‘ün katkıları sayesinde yalnızca istismar faaliyetlerini tespit edebildiğini ifade etmiştir. Citrix’in destek ekibinin de herhangi bir göstergede (IOC) bulunamadığını savunması dikkat çekicidir.
Patch ve Alınması Gereken Önlemler
Citrix, CVE-2025-5777 açığını çözmek için yamalar yayımlamıştır. Tüm organizasyonların, halka açık istismarların mevcut olduğu bu dönemde derhal bu yamaları uygulamaları önemle tavsiye edilmektedir. Citrix, aktif tüm ICA ve PCoIP oturumlarının sonlandırılmasını önermekte, ancak yöneticilerin önce mevcut oturumlar üzerinde şüpheli faaliyetler açısından inceleme yapması gerektiğini vurgulamaktadır.
Bu süreçte dikkat edilmesi gereken husus, kullanıcıların ve sistemlerin güvenliğini sağlamak amacıyla güncellemelerin zamanında yapılmasıdır. Ayrıca, sistem yöneticileri, daha önceki saldırıların göstergelerini ve mevcut tehlikelere karşı koruma yöntemlerini de gözden geçirmelidir.
Sonuç Olarak Yapılacaklar
CitrixBleed2 gibi açıkların bilinirliği arttıkça, bu tür tehditlere karşı savunma mekanizmalarının güçlendirilmesi gereklidir. Saldırganların düşük maliyetli ve basit tekniklerle bile etkili olabileceği göz önünde bulundurulduğunda, organizasyonların kendi altyapısını sürekli olarak gözlemlemesi ve güncel koruma önlemleri alması büyük önem taşımaktadır. Özellikle bulut tabanlı sistemlerin savunmasında dikkatli olunmalı ve her zaman proaktif yaklaşımlar benimsenmelidir.
