CitrixBleed 2 açığının kamuya duyurulmadan önce hedefli saldırılarda kullanıldığı ortaya çıktı

Citrix NetScaler ürünlerini etkileyen ve "CitrixBleed 2" olarak adlandırılan kritik güvenlik açığı CVE-2025-5777’nin, kamuya açık istismar kodları paylaşılmadan önce siber saldırganlar tarafından hedefli biçimde kullanıldığı tespit edildi.

Siber güvenlik firması GreyNoise, 23 Haziran 2025 tarihinde honeypot sistemlerinin bu açığın hedef alındığı saldırıları algıladığını duyurdu. Bu tarih, kamuya açık ilk proof-of-concept (PoC) kodunun yayınlandığı 4 Temmuz’dan yaklaşık iki hafta öncesine denk geliyor.

GreyNoise, 7 Temmuz’da açığı takip etmek için özel bir etiket oluşturduğunu ve bu etiket sayesinde geçmiş verilerdeki saldırı girişimlerinin de görünür hale geldiğini bildirdi. Şirket ayrıca, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) 9 Temmuz’da açığın aktif olarak kullanıldığını teyit etti. Bunun üzerine CISA, CVE-2025-5777’yi bilinen istismar edilen güvenlik açıkları (KEV) listesine ekleyerek federal kurumlara bir gün içinde yama uygulanması talimatı verdi.

Citrix sessiz kaldı
GreyNoise tarafından sağlanan istismar kodlarıyla yapılan doğrulamalara göre, saldırılar doğrudan CitrixBleed 2 açığını hedef alıyordu. Ancak Citrix, bu saldırılara ilişkin kamuoyunu zamanında bilgilendirmedi. Güvenlik araştırmacısı Kevin Beaumont’un defalarca yaptığı uyarılara rağmen, şirket 26 Haziran’da yayınladığı güvenlik blog yazısını 11 Temmuz’a kadar sessizce güncelledi ve saldırıların varlığını doğrudan kabul etmedi.

Citrix, 15 Temmuz’da NetScaler sistemlerinde güvenlik ihlali belirtilerinin nasıl tespit edileceğine ilişkin yeni bir blog gönderisi yayınladı. Buna karşın, bazı araştırmacılar, şirketin istismar göstergelerini (IOC) kendileriyle paylaşıldığı halde açıklamadığını ve şeffaf davranmadığını öne sürüyor.

Açığın teknik detayları
CitrixBleed 2, NetScaler sistemlerinde oturum açma işlemleri sırasında yetersiz giriş doğrulaması nedeniyle ortaya çıkan bir bellek aşımı açığı olarak tanımlanıyor. Saldırganlar, "login=" parametresinde eşittir işareti kullanmadan gönderilen POST istekleriyle cihazdan 127 baytlık bellek verisini dışarı sızdırabiliyor. Horizon3 ve WatchTowr araştırmacıları, bu yöntemin geçerli oturum anahtarlarının ele geçirilmesi için kullanılabildiğini, böylece saldırganların yetkisiz erişim sağlayabileceğini gösterdi.

Kevin Beaumont, "/doAuthentication.do" yoluna yapılan tekrar eden POST isteklerinin ve "Content-Length: 5" başlığı içeren isteklerin istismar belirtileri olabileceğini belirtti. Ayrıca, kullanıcı adı alanında olağandışı karakterler (örneğin "#") içeren oturum sonlandırmaları da dikkat çekici bulgular arasında yer alıyor.

Citrix’in önerileri yetersiz kaldı
Citrix, istismar edilen oturumların sonlandırılması için ICA ve PCoIP oturumlarının kill komutlarıyla sonlandırılmasını önerdi. Ancak Beaumont, bu yaklaşımın yetersiz olduğunu, SSH, Telnet, RDP ve AAA oturumlarının da ayrı ayrı sonlandırılması gerektiğini ifade etti. Ayrıca sistem yöneticilerine, oturumlar sonlandırılmadan önce olağandışı IP adres değişiklikleri veya yetkisiz kullanıcı girişleri açısından günlük kayıtlarını incelemeleri önerildi.

Tespit ve yayılma durumu
Beaumont’a göre, açık 20 Haziran’dan itibaren kullanılmaya başlandı ve takip eden günlerde yaygınlaştı. Araştırmacı, saldırıların dikkatle seçilmiş hedeflere yönelik olduğunu ve saldırganların NetScaler cihazlarını doğrulamak için profil oluşturduklarını ifade etti.

Öte yandan, Imperva tarafından yapılan açıklamaya göre, ürünleri 11,5 milyonun üzerinde istismar girişimi tespit etti. Bu saldırıların yaklaşık %40’ı finans sektörünü hedef aldı.

Citrix, NetScaler ADC ve Gateway için güvenlik yamaları yayınladı ve kullanıcıların desteklenen sürümlere acilen geçmeleri gerektiğini duyurdu. 12.1 ve 13.0 gibi destek dışı sürümler için herhangi bir geçici çözüm bulunmuyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI