CitrixBleed2 Açığı Silah Olarak Kullanıldı: DragonForce Fidye Yazılımı Saldırıları Yazılım

CitrixBleed2 Açığı Silah Olarak Kullanıldı: DragonForce Fidye Yazılımı Saldırıları

CitrixBleed2 açığı, ilk erişim aracıları tarafından silahlandırılarak 2026'da yarım düzine saldırıda kullanıldı ve bir vakada DragonForce fidye yazılı

Güvenlik firması Huntress'in yayımladığı rapora göre, bir ilk erişim aracısı (initial access broker), CitrixBleed2 olarak bilinen kritik bir güvenlik açığını silah haline getirerek 2026 yılının ilk yarısında birden çok kuruluşa yönelik saldırılar düzenledi. Saldırganlar, bu açığı kullandıktan sonra ayrıcalık yükseltme işlemleri gerçekleştirdi, sahte yerel yönetici hesapları oluşturdu ve ScreenConnect ile Zoho Assist gibi meşru uzaktan erişim araçlarını kullanarak sistemde kalıcılık sağladı.

Ocak ve Haziran ayları arasında yaşanan yaklaşık yarım düzine vaka, tutarlı bir saldırı senaryosu izledi. Huntress araştırmacıları, en ileri düzeydeki vakada saldırganların DragonForce fidye yazılımını dağıttığını belirtti. Huntress Kıdemli Taktiksel Müdahale Analisti Michael Tigges, 'Fidye yazılımına ilerleyen olayda, saldırganın hızı en büyük avantajıydı; yerel ayrıcalık yükseltme betiğinin çalıştırılmasının hemen ardından fidye yazılımı devreye sokuldu ve savunmacılara neredeyse hiç tepki süresi kalmadı' dedi.

Tüm vakalar birbirine çok benzeyen saldırı modelleri içeriyordu. Ancak yalnızca bir vakada DragonForce fidye yazılımı kullanıldı. Huntress, Citrix NetScaler kullanan kuruluşları sistemlerini yamamaya ve ek önlemler almaya çağırıyor. Güvenlik açığı, NetScaler ADC ve NetScaler Gateway'de yetersiz girdi doğrulamasından kaynaklanıyor ve NetScaler'ın Gateway veya sanal sunucu olarak yapılandırıldığı durumlarda bellek taşmasına yol açıyor. Citrix, bu açığın 2025 yılında bir dizi saldırıda kullanıldığını ve geçen yıl bir rehber yayımladığını duyurdu.

Nisan ayında Sophos araştırmacıları, STAC3725 adını verdikleri benzer bir faaliyet kümesi tespit etti. Bu saldırılarda, açık kaynaklı bir makine öykünücüsü olan QEMU'nun kötüye kullanıldığı görüldü. CitrixBleed2 açığı, 2023'te Comcast, Boeing'in bir yan kuruluşu ve diğer büyük şirketlere yönelik büyük bir saldırı dalgasına neden olan CitrixBleed açığına benzerlik gösteriyor.

Saldırganların bu açığı silahlandırması, kuruluşların güvenlik açıklarını hızla yamamalarının ne kadar kritik olduğunu bir kez daha ortaya koyuyor. Özellikle ilk erişim aracıları, açıkları tespit edip bunları fidye yazılımı çetelerine veya diğer kötü niyetli aktörlere satarak veya doğrudan kullanarak büyük karlar elde ediyor. Citrix NetScaler kullanıcıları, sistemlerini güncel tutmalı ve ağ segmentasyonu, çok faktörlü kimlik doğrulama ve davranışsal analiz gibi ek güvenlik önlemleri almalıdır.

Teknik Analiz

Bu tür saldırılara karşı korunmak için kuruluşların, güvenlik açığı yönetimi süreçlerini hızlandırması, hassas sistemlere erişimi kısıtlaması ve anormal aktiviteleri tespit etmek için sürekli izleme yapması önerilir. Ayrıca, üçüncü taraf uzaktan erişim araçlarının kullanımı sıkı politikalar ve izleme ile kontrol altına alınmalıdır.

Kaynak: cybersecuritydive.com

Paylaş: