sharefile'da kritik açıklar zincirlenerek rce'ye dönüşüyor
arkadaşlar, citrix’in sharefile ürününde çok ciddi bir durum var. iki tane kritik açık bulunmuş ve bunlar zincirlenerek kimlik doğrulamasız uzaktan kod çalıştırma (rce) sağlıyor. yani saldırgan hiçbir kullanıcı adı parola olmadan sunucunuza dosya yükleyip kod çalıştırabiliyor. acil acil yamalayın bunu.
ne olmuş yani
sharefile’da iki ayrı zafiyet tespit edilmiş. birincisi kimlik doğrulamasını atlatan bir açık, ikincisi de rastgele dosya yükleme zafiyeti. bunları zincirlediğinizde ortaya çıkan şey: kimlik doğrulamasız rce. kısacası saldırgan önce kimlik kontrolünü bypass ediyor, sonra da kendi kötü niyetli dosyasını sunucuya yüklüyor ve çalıştırıyor.
cvss skoru 9.8 yani kritik seviyede. saldırı vektörü network üzerinden, karmaşıklık düşük, kullanıcı etkileşimi gerekmiyor. spoiler: bu tür açıklar genelde aktif olarak sömürülür, beklemeyin.
teknik detaylar
CVE-2025-24054 ve CVE-2025-24055 numaralı bu açıklar birlikte kullanıldığında:
authentication bypass - CVE-2025-24054: kimlik doğrulama mekanizmasını atlatan bir zafiyet var. saldırgan hiçbir credential olmadan sisteme erişebiliyor.
arbitrary file upload - CVE-2025-24055: rastgele dosya yükleme açığı. normalde izin verilmeyen dosya tiplerini sunucuya yükleyebiliyorsunuz.
bu ikisini birleştirdiğinizde: kimlik doğrulaması yok → kötü niyetli dosya yükleniyor → kod çalıştırılıyor → sunucu ele geçiriliyor.
etkilenen sistemler
| Ürün | Durum |
|---|---|
| Citrix ShareFile Storage Zones Controller | ✅ Etkileniyor |
| ShareFile on-premise deployment | ✅ Etkileniyor |
| ShareFile cloud (citrix tarafından yönetilen) | ⚠️ Citrix yamaladı |
edit: citrix’in cloud ortamındaki sharefile sunucuları zaten yamalanmış. sorun on-premise kurulumlarınızda.
hemen yapmanız gerekenler
agalar boş durmayın, şunları yapın:
# 1. önce sharefile versiyonunuzu kontrol edin
# storage zones controller versiyonu 6.5.0'dan düşükse risk altındasınız
# 2. citrix'in yayınladığı yamayı indirin
# https://support.citrix.com/article/CTX677896 adresinden
# 3. yedek alın (önemli!)
# yedek almadan yamalama yapmayın, sonra sistem patlarsa bana sormayın
# 4. yamayı test ortamında deneyin
# önce test, sonra production. klasik
# 5. production'a uygulayın
# maintenance window açıp uygulayın yamayı
geçici çözümler (yamayı hemen uygulayamayanlar için)
eğer hemen yamalama yapamıyorsanız şu önlemleri alın:
ağ seviyesi:
# sharefile erişimini sadece güvenilir ip'lerle sınırlayın
# firewall'da rule ekleyin:
# - vpn üzerinden erişim zorunlu kılın
# - internet'ten direkt erişimi kapatın
izleme:
# log'larda şüpheli aktivite arayın:
# - bilinmeyen ip'lerden gelen istekler
# - başarısız kimlik doğrulama denemeleri
# - anormal dosya yükleme aktiviteleri
# waf kullanıyorsanız:
# - dosya yükleme endpoint'lerini extra koruma altına alın
# - rate limiting uygulayın
dikkat: bunlar geçici çözüm, asıl çözüm yamadır. bu önlemler saldırıyı zorlaştırır ama tamamen engellemez.
timeline
- 1 nisan 2025: citrix cloud ortamını yamaladı
- 3 nisan 2025: açık kamuya duyuruldu
- şimdi: on-premise kurulumlar risk altında
spoiler: açık kamuya duyuruldu, exploit kodu da yakında çıkar muhtemelen. acele edin.
kaynaklar
- SecurityWeek - Critical ShareFile Flaws
- CVE-2025-24054 - Authentication Bypass
- CVE-2025-24055 - Arbitrary File Upload
- Citrix Security Bulletin - CTX677896
son söz
arkadaşlar bu çok kritik bir durum. sharefile kullanıyorsanız ve on-premise kurulumunuz varsa hemen yamalayın. kimlik doğrulamasız rce demek saldırganın evinizin anahtarını vermek demek.
önce yedek alın, sonra test ortamında deneyin, sonra production’a uygulayın. acele edin ama panik yapmayın. metodlu çalışın.
bkz: citrix security bulletin bkz: authentication bypass zafiyetleri bkz: rce nedir nasıl korunulur
Bu içerik yapay zeka tarafından oluşturulmuştur.