Un bogue de débordement de mémoire critique dans les périphériques Citrix NetScaler permet une exécution de code distante et des attaques DDOS initialement détectées par l’agence de sécurité nationale néerlandaise.
Les attaquants exploitent une vulnérabilité Citrix Netcaler à la violation des organisations critiques, notamment aux Pays-Bas, mais très probablement dans d’autres pays également.
Le National Cyber Security Center (NCSC) des Pays-Bas a suivi les vulnérabilités causées par un bogue de débordement de mémoire qui permet aux acteurs de la menace de lancer des attaques «sophistiquées» de code distant (RCE) et des attaques de déni de service distribuées (DDOS).
La principale préoccupation est la vulnérabilité de l’exécution du code arbitraire, que le NCSC a identifié dans un certain nombre de compromis, a noté Johannes Ullrich, doyen de la recherche au Sans Institute. Alors que le NCSC a observé ces attaques localement, « il n’y a rien de spécial dans les appareils aux Pays-Bas », a-t-il déclaré. « Tout appareil vulnérable verra probablement les mêmes attaques ou similaires. »
La vulnérabilité «massivement concernée» a identifié il y a plus de 6 semaines
La vulnérabilité dans les dispositifs du système Citrix (CVE-2025-6543) aurait été exploitée depuis au moins au début du mois de mai. La société a publié un correctif le 25 juin, identifiant les versions Vulnérables NetScaler suivantes:
- 14.1 avant le 14.1-47.46
- 13.1 avant 13.1-59.19
- 13.1-fips et 13.1-ndcpp avant le 13.1-37.236
- 12.1 et 13.0, qui sont de fin de vie (EOL)
Le NCSC a étudié les exploits de cette vulnérabilité et de deux autres (CVE-2025-5349, CVE-2025-5777), découvrant des coquilles Web malveillantes dans des appareils, ou des morceaux de code placés par les attaquants pour accéder à distance à un système.
Le NCSC identifie les attaques comme le travail «un ou plusieurs acteurs utilisant des méthodes sophistiquées». La vulnérabilité a été exploitée comme zéro jour, avant d’être divulguée publiquement, et les traces ont été «activement effacées» pour cacher des compromis. L’agence affirme qu’il y a toujours une «incertitude considérable» sur les organisations compromises, ou si les acteurs de la menace sont toujours actifs.
« Ce que cela signifie, s’il n’est pas corrigé, c’est que les pirates peuvent réellement faire planter l’appareil, entraînant une attaque DOS », a expliqué Erik Avakian, conseiller technique du groupe de recherche Info-Tech. Cela peut empêcher l’appareil d’exécuter et empêcher les services de fonctionner comme ils le feraient normalement. «Si ce type de déni de service se produit, personne ne peut utiliser votre VPN, vos applications distantes ou d’autres services qu’il protège.»
En plus de cela, la vulnérabilité pourrait permettre aux pirates d’exécuter leur propre code sur une boîte NetScaler affectée. Un compromis RCE réussi pourrait donner aux pirates la possibilité d’installer des délais, de voler des données, de créer de faux comptes d’utilisateurs ou même d’utiliser l’appareil lui-même pour attaquer les autres, a expliqué Avakian.
« Fondamentalement, c’est comme avoir un agent de sécurité à votre porte d’entrée est assommé et être remplacé par un imposteur portant leur uniforme », a-t-il déclaré.
Le correctif ne suffit pas
Le NCSC et les experts en sécurité notent que le correctif seul ne résoudra pas le problème.
« Ces scripts peuvent être utilisés pour fournir à un attaquant un accès complet à l’appareil, et ils peuvent survivre aux correctifs », a déclaré Ullrich de Sans. «Si les organisations se répercutent et avancent, elles peuvent manquer le fait que l’appareil est compromis et peut toujours être accessible par l’attaquant.»
Cela a été un thème récurrent ces derniers temps, a-t-il noté; Par exemple, les appareils SonicWall ont récemment été facilement redémarrés après avoir été corrigées.
« Vous devez assumer des compromis si un appareil exposé et non corrigé dans votre organisation n’a pas été corrigé avant le début de l’exploitation », a déclaré Ullrich.
Le NCSC a publié un script, disponible sur sa page GitHub, pour aider les entreprises à identifier les appareils compromis et les risques associés. Les entreprises doivent mettre à jour leurs appareils vers les dernières mises à jour de sécurité: NetScaler ADC et NetScaler Gateway 14.1 version 14.1-47.46 ou ultérieure, 13.1-59.19 ou ultérieure, et ADC 13.1-Fips et 13.1-NDCPP 13.1-37.236 ou plus tard.
L’agence recommande ensuite de mettre fin à toutes les sessions persistantes et actives avec les commandes suivantes:
- tuer icaconnection – tout
- tuer pcoipconnection – tout
- tuer la session AAA-tout
- tuer la connexion RDP – tout
- Persistes de persistance claires
Au-delà de cela, il conseille la mise en œuvre de mesures de «défense en profondeur» avec plusieurs niveaux de contrôles de sécurité. Les organisations devraient également effectuer des enquêtes si elles découvrent des indicateurs de compromis (CIO).
« En ce qui concerne les raisons pour lesquelles d’autres en dehors des Pays-Bas devraient s’en soucier, ce n’est pas le premier canari national à mourir dans cette mine de charbon vulnérable », a déclaré David Shipley de Beauceron Security. Il a souligné que l’Agence américaine de sécurité de la cybersécurité et de l’infrastructure (CISA) a ajouté la vulnérabilité à leur catalogue connu sur les vulnérabilités exploitées (KEV) fin juin, et a donné un jour aux agences fédérales pour la réparer.
« Le fait qu’il ne soit toujours pas corrigé est massivement préoccupant, étant donné que Citrix avait des correctifs et un avis le 25 juin », a-t-il déclaré. « Ne pas agir sur cela dans une infrastructure critique ressemble énormément à une négligence à ce stade … ou à l’équivalent de suspendre un panneau sur votre site Web qui dit » Venez moi « . »
NetScaler «à la fois un videur et un contrôleur de trafic»
Avakian de Info-Tech a souligné que NetScaler est un produit populaire utilisé dans le monde entier par les banques, les hôpitaux, les gouvernements, les cabinets d’avocats et «à peu près tout type d’industrie.
Maintenant que le défaut est public, les pirates trouveront probablement des cibles à exploiter en utilisant des analyses automatisées pour trouver des appareils non corrigés, a-t-il souligné.
Les organisations doivent vérifier les inventaires du système pour les versions vulnérables et corriger immédiatement tous les systèmes impactés, a-t-il conseillé. Comme le suggère NCSC, il est également essentiel de résilier toutes les sessions actuelles sur les appareils. «Cela signifie lancer tout le monde et forcer une déconnexion pour tous les utilisateurs et sessions» qui peut arrêter les anciens des attaquants.
Les services informatiques devraient également rechercher des CIO, des fichiers étranges, des comptes inconnus ou des connexions inhabituelles.
Les correctifs à long terme et rapides et la surveillance continue sont essentiels, tout comme les améliorations progressives et les modifications des plans de réponse aux incidents, des manuels et des processus de contrôle, a noté Avakian. Documenter et répéter «exactement quoi faire» lorsque les systèmes doivent être corrigés rapidement, effectuer des cyber-exercices régulièrement et rester informé du paysage des menaces, a-t-il ajouté.
« L’essentiel ici est que ce n’est pas seulement un problème localisé », a déclaré Avakian. « Je le mettrais dans la catégorie de ce qui est caractéristiquement un problème mondial de dispositif orienté sur Internet. Le fait que les attaquants l’ont déjà utilisé aux Pays-Bas prouvent que c’est réel. »
