NetScaler ADC ve Gateway cihazlarında ortaya çıkan kritik güvenlik açığı CVE-2025-5777, siber güvenlik uzmanlarının “Citrix Bleed 2” adını verdiği yeni bir tehdide dönüştü. İlk olarak 17 Haziran 2025’te duyurulan bu zafiyetin aktif olarak istismar edildiğine dair belirtiler artıyor.

Saldırganlar Kimlik Doğrulamasını Aşabiliyor

Citrix Bleed 2 açığı, doğrulanmamış saldırganların sistem belleğinde yetkisiz şekilde veri okumasına neden oluyor. Bu durum, saldırganların oturum belirteçlerini, kullanıcı kimlik bilgilerini ve hassas verileri ele geçirmesine yol açıyor. Elde edilen bilgiler sayesinde saldırganlar kullanıcı oturumlarını ele geçiriyor ve çok faktörlü kimlik doğrulamasını (MFA) atlatabiliyor.

Siber güvenlik firması ReliaQuest, Citrix cihazlarında şüpheli oturumlar gözlemlediğini ve saldırganların bu güvenlik açığını hedef aldığını bildirdi. Gerçek saldırı örneklerinde, kullanıcı etkileşimi olmadan başlatılan oturumlar tespit edildi. Aynı oturumların hem meşru hem de şüpheli IP adreslerinden kullanılması, oturumların çalındığını ve yeniden kullanıldığını gösteriyor.

Uzmanlar, saldırganların sistem erişimi sağladıktan sonra LDAP sorguları çalıştırdığını ve Active Directory üzerinden kullanıcı ile grup yapılarını haritalandırdığını belirtti. Ayrıca sistemlerde ADExplorer64.exe aracının birden fazla kez çalıştırılması, koordineli bir keşif sürecinin yürütüldüğünü ortaya koydu.

Citrix, bu açığı kapatmak için 14.1-43.56+, 13.1-58.32+ ve 13.1-FIPS/NDcPP 13.1-37.235+ sürümlerini yayımladı. Uzmanlar, güncellemeyi yapan yöneticilerin tüm aktif ICA ve PCoIP oturumlarını sonlandırmasını tavsiye ediyor. Çünkü bu oturumların bir kısmı saldırganların kontrolüne geçmiş olabilir. Oturumları sonlandırmadan önce yöneticilerin show icaconnection komutuyla aktif bağlantıları incelemesi gerekiyor. Ardından aşağıdaki komutlarla bağlantılar kesilebilir:

kill icaconnection -all  
kill pcoipconnection -all

Güncelleme mümkün değilse, yöneticilerin NetScaler cihazlarına dış erişimi kısıtlaması öneriliyor.

Citrix, yayınladığı blog yazısında CVE-2025-5777 açığının şu ana kadar istismar edildiğine dair doğrudan bir kanıt bulunmadığını belirtti. Ancak güvenlik araştırmacısı Kevin Beaumont ile ReliaQuest, tespit ettikleri bulguların bu açığın kötüye kullanıldığını güçlü şekilde gösterdiğini ifade ediyor.

Ayrıca aynı modülde yer alan farklı bir açık olan CVE-2025-6543’ün hizmet durdurma (DoS) saldırılarında kullanıldığı Citrix tarafından da doğrulandı.