Citrix NetScaler CVE-2026-3055 ve F5 BIG-IP CVE-2025-53521 — Her İkisi Aktif İstismar ve CISA KEV'de

Bu hafta ağ altyapı cephesinde iki kritik açık öne çıktı. CVE-2026-3055 (Citrix NetScaler ADC/Gateway, CVSS 9.3): SAML IDP yapılandırmalarında yetersiz girdi doğrulaması nedeniyle memory overread. Saldırganlar /saml/login endpoint'ine özel hazırlanmış SAMLRequest göndererek NSC_TASS cookie'si üzerinden önceki taleplerin bellek içeriklerine (kimlik bilgileri, oturum token'ları) ulaşabiliyor. Rapid7, 24 Mart'ta yamayı yayımladı; watchTowr 27 Mart'ta bilinen tehdit aktörü IP'lerinden aktif keşif saptadı. Metasploit modülü mevcut.

CVE-2025-53521 (F5 BIG-IP APM, CVSS v4: 9.3): Başlangıçta DoS olarak sınıflandırılan zafiyet, Mart 2026'da yeni bulgularla kimliksiz RCE olarak yeniden sınıflandırıldı. APM access policy yapılandırılmış virtual server'larda özel trafik → RCE. F5 aktif istismarı teyit etti; CISA federal kurumlar için 30 Mart son tarihi belirledi. Defused Cyber, BIG-IP REST API endpoint'ine yönelik yoğun tarama aktivitesi saptadı.