CitrixBleed2 Açığı İlk Erişim Aracıları Tarafından Silah Haline Getirildi: 2026 Saldırıları Yazılım

CitrixBleed2 Açığı İlk Erişim Aracıları Tarafından Silah Haline Getirildi: 2026 Saldırıları

Huntress raporu, kritik CitrixBleed2 açığının 2026'da ilk erişim aracıları tarafından silah haline getirildiğini gösteriyor. Saldırganlar ScreenConnec

Siber güvenlik dünyasında yeni bir tehdit dalgası yükseliyor. Huntress güvenlik şirketinin Perşembe günü yayımladığı rapora göre, "CitrixBleed2" olarak adlandırılan kritik bir güvenlik açığı, 2026'nın ilk yarısında birden fazla kuruluşu hedef alan saldırılarda ilk erişim aracıları tarafından silah haline getirildi. Bu saldırılar, özellikle Citrix NetScaler ürünlerini kullanan şirketleri hedef alırken, saldırganların hızla yetki yükselttiği, sahte yerel yönetici hesapları oluşturduğu ve ScreenConnect ile Zoho Assist gibi meşru uzaktan erişim araçlarıyla kalıcılık sağladığı tespit edildi.

Huntress araştırmacıları, Ocak-Haziran ayları arasında yaşanan yaklaşık yarım düzine olayın tutarlı bir oyun kitabını izlediğini belirtiyor. En ileri vakada saldırganların DragonForce fidye yazılımını devreye aldığı görüldü. Huntress Kıdemli Taktik Müdahale Analisti Michael Tigges, "Fidye yazılımına ilerleyen olayda, rakibin hızı en büyük avantajıydı; yerel ayrıcalık yükseltme betiğinin çalıştırılmasının hemen ardından fidye yazılımı devreye alındı ve savunucuların yanıt vermesi için çok az zaman kaldı" dedi.

Saldırıların tamamında benzer desenler gözlemlendi. Ancak sadece bir vakada DragonForce fidye yazılımı kullanıldı. Huntress, Citrix NetScaler kullanan tüm kuruluşları sistemlerini güncellemeye ve ek güvenlik önlemleri almaya çağırıyor. Açık, NetScaler ADC ve NetScaler Gateway'de yetersiz giriş doğrulamasından kaynaklanıyor ve NetScaler'ın Gateway veya sanal sunucu olarak yapılandırıldığında bellek aşımına yol açıyor. Citrix, bu güvenlik açığına ilişkin rehberliği geçen yıl yayımlamıştı.

Sistem Güvenliği

Bu tehdit, Nisan 2025'te Sophos araştırmacılarının STAC3725 adını verdiği benzer bir saldırı kümesiyle de bağlantılı. Sophos'un gözlemlediği saldırılarda, açık kaynaklı bir makine öykünücüsü olan QEMU'nun kötüye kullanıldığı tespit edildi. STAC3725, CitrixBleed2 açığını kullanan saldırganlarla aynı altyapıyı paylaşıyor olabilir. Her iki durumda da saldırganlar, meşru araçları kullanarak tespit edilmekten kaçınıyor.

Detaylar ve Etkileri

CitrixBleed2, 2023'te büyük bir saldırı dalgasına neden olan CitrixBleed (CVE-2023-4966) açığına benzerlik gösteriyor. CitrixBleed, Comcast, Boeing'in bir yan kuruluşu ve diğer büyük şirketleri hedef alan saldırılarda kullanılmıştı. Uzmanlar, ilk erişim aracılarının bu tür açıkları hızla silah haline getirdiğine ve kurban ağlarına giriş noktası olarak kullandığına dikkat çekiyor.

Kuruluşların Citrix NetScaler cihazlarını en son yamalarla güncellemeleri, çok faktörlü kimlik doğrulamayı zorunlu kılmaları ve ağ trafiğini şüpheli etkinliklere karşı izlemeleri öneriliyor. Ayrıca, yetkisiz uzaktan erişim araçlarının kullanımını engellemek için uygulama beyaz listelemesi yapılması ve yerel yönetici hesaplarının sıkı denetlenmesi gerekiyor. Huntress, bu saldırıların hızla yayılabileceği uyarısında bulunuyor.

Kaynak: cybersecuritydive.com

Paylaş: