Citrix tarafından üretilen ağ yönetimi cihazlarındaki çok faktörlü kimlik doğrulamayı (MFA) aşmaya olanak tanıyan kritik bir güvenlik açığı, güvenlik araştırmacılarının raporlarına göre bir aydan uzun süredir aktif olarak istismar ediliyor. Bu durum, üretici firmanın saldırıların aktif olduğuna dair herhangi bir kanıt bulunmadığı yönündeki önceki açıklamalarıyla çelişiyor.
CVE-2025-5777 olarak izlenen bu güvenlik açığı, iki yıl önce on binlerce Citrix cihazının ele geçirilmesine yol açan ve “CitrixBleed” olarak bilinen CVE-2023-4966 isimli kritik güvenlik kusuruyla önemli benzerlikler taşıyor. O dönemde çok sayıda büyük şirket ve kamu kurumu bu saldırılardan etkilenmiş, önemli veri sızıntıları yaşanmıştı.
Saldırganlara Neden Erken Başlangıç Avantajı Sağlandı?
Hem CVE-2025-5777 hem de CVE-2023-4966, Citrix’in NetScaler Application Delivery Controller ve NetScaler Gateway ürünlerinde yer alıyor. Bu ürünler, kurumsal ağlarda sırasıyla yük dengeleme ve tek oturum açma (SSO) gibi hayati hizmetler sağlıyor.
Söz konusu güvenlik açığı, hassas cihazların internet üzerinden gönderilen değiştirilmiş istekler sonrasında küçük bellek içeriklerini “sızdırmasına” veya “kanamasına” neden oluyor. Saldırganlar, aynı istekleri tekrar tekrar göndererek, kimlik bilgilerini yeniden oluşturmaya yetecek kadar veri toplayabiliyorlar. Orijinal CitrixBleed’in şiddet derecesi 9.8 iken, yeni CitrixBleed 2’nin şiddet derecesi 9.2 olarak belirlendi.
Citrix, bu yeni güvenlik açığını 17 Haziran’da duyurmuş ve ilgili güvenlik yamasını yayınlamıştı. Dokuz gün sonra, 26 Haziran’da yayınladığı bir güncellemede ise şirket, “şu anda istismara dair herhangi bir kanıttan haberdar olunmadığını” belirtmişti. Şirket o zamandan beri bu konuda ek bir güncelleme sağlamadı.
Ancak siber güvenlik firmaları ve bağımsız araştırmacılar, yeni güvenlik açığının (CitrixBleed 2 olarak adlandırılıyor) haftalardır aktif olarak istismar edildiğine dair güçlü kanıtlar bulduklarını açıkladı. Honeypot (bal küpü) günlüklerindeki veriler, istismarın 23 Haziran gibi erken bir tarihte, yani Citrix’in herhangi bir saldırı kanıtı olmadığını söylediği tarihten üç gün önce başladığını ortaya koyuyor.
Araştırmacılar, Citrix’in aktif istismarı açıklamasındaki eksikliği ve müşterilere yeterli bilgi sağlamamasını eleştiriyor. Geçtiğimiz hafta bir güvenlik firması, “Daha Ne Kadar Kanamalıyız?” başlıklı bir blog yazısı yayınlayarak Citrix’i, müşterilerin ağlarının saldırı altında olup olmadığını belirlemelerine yardımcı olacak “Indicator of Compromise (IoC)” olarak bilinen göstergeleri gizlemekle suçladı. Diğer siber güvenlik firmaları da benzer eleştirilerde bulundu.
Siber güvenlik uzmanları, Citrix’in bu detayları genel yerine sadece destek ekibi aracılığıyla paylaşmasını, saldırganları uyarmamak adına yapıldığını savunduğunu belirtti. Ancak uzmanlar, bu detay eksikliğinin istismarı tam aksine kolaylaştırdığını savunuyorlar:
“Gerçekte istismar, yama yayınlandıktan kısa süre sonra başladı. Yani teknik detayların sağlanmaması, istismarı yavaşlatmadı; aksine saldırganlara önden başlama avantajı sağladı ve müşterileri sadece yama uygulamanın sorunu çözdüğüne dair yanlış bir güvenlik hissine bıraktı.”
Uzmanlar, saldırıların özellikle NetScaler cihazları için kimlik doğrulamayı yöneten doAuthentication.do uç noktasını günde binlerce oturum açma isteğiyle hedef aldığını vurguladı. Sonunda, hassas cihazlar, yöneticisel erişim için gerekli oturum belirteçlerini (session tokens) kurtarmak için yeterli bellek içeriği sızdıracak.
Tüm bu açıklamalar, yalnızca güvenlik yamalarını uygulamanın yeterli olmadığını, aynı zamanda saldırı belirtileri olup olmadığının detaylı bir şekilde incelenmesi gerektiğini belirtiyor. Müşterilerin, olası bir ihlali tespit etmek için sağlanan göstergeleri kullanarak kendi ağlarını kontrol etmeleri büyük önem taşıyor.
Citrix ise Teknoscope'a gönderdiği e-postada, aktif istismardan haberdar olup olmadığı sorusuna doğrudan yanıt vermekten kaçındı. Şirket temsilcisi, “Citrix, müşterilerin analizlerinin bir parçası olarak NetScaler ürünlerindeki anormallikleri tespit etmelerine yardımcı olabilecek bilgileri sorumlu bir şekilde paylaşma konusunda şeffaflığa bağlıdır” açıklamasında bulundu.
