CISA, Citrix Bleed 2 Zafiyetinin Aktif Olarak İstismar Edildiğini Doğruladı

Ana SayfaHaberler* CISA aktif saldırıların onaylanmasının ardından, Citrix NetScaler'daki kritik bir zafiyet (CVE-2025-5777)'yi Bilinen Sömürülen Zafiyetler Kataloğu'na ekledi.

• "Citrix Bleed 2" olarak adlandırılan zafiyet, kimlik doğrulama atlamasına ve bellek aşımına izin vererek, hassas verilerin potansiyel olarak ifşasına yol açmaktadır.
• Güvenlik araştırmacıları ve satıcılar, Citrix'in kendi duyurularını henüz güncellemese de, saldırganlar tarafından devam eden istismarları rapor etmiştir.
• Saldırganlar, kurumsal ağları risk altına sokarak kritik ağ cihazlarını hedef alıyor, CISA ise hemen yamanmasını ve zorunlu oturum sonlandırmasını öneriyor.
• Diğer güvenlik açıkları, GeoServer'daki CVE-2024-36401 gibi, kripto madenciliği zararlısı dağıtımı da dahil olmak üzere saldırılarda kullanılmaktadır. 10 Temmuz 2025'te, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) , Citrix NetScaler ADC ve Gateway'i etkileyen kritik bir güvenlik açığını Bilinen Sömürülen Zafiyetler (KEV) kataloğuna ekledi. Bu adım, CVE-2025-5777 olarak tanımlanan güvenlik açığının aktif siber saldırılarda kullanıldığını doğrulamaktadır.

• Reklam - CVE-2025-5777, ayrıca "Citrix Bleed 2" olarak bilinir, 9.3 CVSS puanına sahiptir. Bu güvenlik açığı yetersiz girdi doğrulaması nedeniyle mevcuttur. Sömürüldüğünde, saldırganların Gateway veya AAA sanal sunucu olarak ayarlanmış sistemlerde kimlik doğrulamasını atlamasına izin verir. Bu sorun, hassas bilgilerin potansiyel olarak ifşa edilmesine neden olan bir bellek aşımına yol açar.

Güvenlik araştırmacısı Kevin Beaumont'un bir raporu, istismarların Haziran ortasında başladığını belirtti. Saldırgan IP adreslerinden birinin RansomHub Fidye Yazılımı grubuyla bağlantılı olduğu bildirildi. GreyNoise'tan elde edilen verilere göre, Amerika Birleşik Devletleri, Fransa, Almanya, Hindistan ve İtalya'nın en büyük hedefler olduğu, birçok ülkeden 10 kötü niyetli IP adresi tespit edildi. Citrix, 26 Haziran 2025 itibarıyla resmi uyarılarında istismar faaliyetlerini doğrulamamıştır.

Zafiyetin riski yüksektir çünkü etkilenen cihazlar genellikle VPN'ler veya kimlik doğrulama sunucuları olarak hizmet vermektedir. "Oturum belirteçleri ve diğer hassas veriler açığa çıkabilir — bu da yetkisiz erişimi iç uygulamalara, VPN'lere, veri merkezi ağlarına ve iç ağlara olanak tanıyabilir," diyor Akamai. Uzmanlar, saldırganların zayıf cihazları istismar ederek kurumsal ağlara daha geniş erişim elde edebileceği konusunda uyarıyor.

CISA, tüm kuruluşlara 17 Haziran tavsiyesinde listelenen Citrix'in yamanmış sürümlerine, örneğin 14.1-43.56 sürümü veya daha yenisine güncellemelerini önerir. Yamanın ardından, yöneticilerin çalınmış kimlik doğrulama jetonlarını geçersiz kılmak için tüm aktif oturumları sonlandırmaları gerekir. Güvenlik ekipleri, bu açığın jeton çalınmasına ve oturum tekrarına olanak tanıyabileceğinden, kimlik doğrulama uç noktalarında olağandışı etkinlik için günlükleri gözden geçirmelidir.

Ayrı olaylarda, saldırganlar OSGeo GeoServer GeoTools (CVE-2024-36401'deki kritik bir açığı kullanarak Güney Kore'de NetCat ve XMRig coin madencilerini kuruyorlar. Kurulduktan sonra, bu madenciler sistem kaynaklarını kullanarak kripto para üretir, NetCat ise daha fazla kötü niyetli eylem veya veri hırsızlığına olanak tanır.

)# Önceki Makaleler:

• Bitcoin Rekor $116,000'a Ulaştı, Rally Kripto Pazarlarını Yükseltti
• Stabilcoin'lar DeFi'yi Domin ediyor, Merkezileşme Riskleri Hakkında Sorular Ortaya Çıkıyor
• Plasma Setleri, Ana Ağ Öncesi 17 Temmuz Token Satışı, Yeni Stabilcoinler
• İngiltere, M&S, Co-op, Harrods'a Yönelik Büyük Perakende Siber Saldırılarında Dört Kişiyi Tutukladı
• SharpLink, En Büyük Kurumsal Ethereum Sahibi Rekoruna Yaklaşıyor

• Reklam -