Qingdao,China-Oct.21.2024:DPRK Uses Microsoft Zero-Day in No-Click Toast Attacks

Les attaquants exploitant NetScaler ADC et Gateway Zero Day Flaw, Citrix avertit

Lucas Morel

Les derniers correctifs corrigent trois défauts dangereux au milieu des inquiétudes d’une éventuelle persistance continue.

Citrix NetScaler ADC et NetScaler Gateway Les clients ont été frappés par un nouveau cycle de vulnérabilités de jour qui nécessitent des correctifs urgents, dont une que la société a avertis est activement exploitée.

Cette alerte d’exploitation fait le défaut la plus élevée, CVE-2025-7775, les administrateurs voudront commencer.

Selon Citrix’s Advisory, c’est une vulnérabilité de débordement de mémoire qui peut conduire au déni de service ou à l’exécution du code distant (RCE) sur les appareils NetScaler qui répondent à l’une de ces préconditions:

  • NetScaler doit être configuré comme Gateway (VPN Virtual Server, ICA Proxy, CVPN, RDP Proxy) ou AAA Virtual Server.
  • NetScaler ADC et NetScaler Gateway 13.1, 14.1, 13.1-FIPS et NDCPP: LB Virtual Serveurs of Type (HTTP, SSL ou HTTP_QUIC) lié avec des services IPv6 ou des groupes de services liés avec des serveurs IPv6, et ceux liés aux services DBS IPv6 ou à des groupes de services liés avec des serveurs IPv6 DBS.
  • NetScaler configuré avec un serveur virtuel CR (redirection de cache) avec type HDX.

L’avis fournit des instructions de ligne de commande que les clients peuvent suivre pour déterminer si elles sont affectées par les défauts; Citrix note dans une analyse de blog distincte qu’aucune solution de contournement ou atténuation n’est possible.

De façon frustrante, Citrix n’a offert aucune information sur la nature des attaques du monde réel qu’il a vues ou les indicateurs de compromis (CIO) qui pourraient être utilisés pour détecter si l’exploitation s’est déjà produite. C’est une inquiétude en raison de la possibilité hypothétique que les attaquants puissent exploiter le RCE pour créer une porte dérobée sur l’appareil qui est capable de survivre à des correctifs ultérieurs.

Le 26 août, le chercheur en sécurité Kevin Beaumont a estimé que 84% des appareils de netscaler vulnérables n’avaient pas été corrigés pour CVE-2025-775, il semble donc qu’il y ait un grand domaine pour les attaquants à viser.

Les autres défauts

Les deux autres défauts, CVE-2025-7776 et CVE-2025-8424, sont évalués la priorité «élevée» plutôt que «critique» sur les CVS, bien que les corriger devraient toujours être une priorité absolue.

Le premier est une vulnérabilité de débordement de mémoire dans les périphériques configurés comme passerelle avec le profil PCOIP qui le conduit au déni de service, tandis que le second pourrait permettre «un contrôle d’accès incorrect sur l’interface de gestion NetScaler». En termes simples, les attaquants pourraient être en mesure d’exploiter le défaut pour contourner l’authentification, prenant le contrôle de la console de gestion d’un appareil alors que cela ne devrait pas être possible.

Quels appareils sont vulnérables?

Les modèles affectés par les bogues sont:

  • NetScaler ADC et NetScaler Gateway 14.1-47.48 et versions ultérieures
  • NetScaler ADC et NetScaler Gateway 13.1-59.22 et versions ultérieures de 13.1
  • NETSCALER ADC 13.1-FIPS et 13.1-NDCPP 13.1-37.241 et versions ultérieures de 13.1-fips et 13.1-NDCPP
  • NETSCALER ADC 12.1-FIPS et 12.1-NDCPP 12.1-55.330 et versions ultérieures de 12.1-fips et 12.1-NDCPP

Saignement Citrix

Comme les clients de NetScaler seront déjà douloureusement conscients, ce ne sont pas les premières vulnérabilités graves à affecter le NetScaler ADC de l’entreprise et les appareils Gateway NetScaler en 2025.

En juin, la société a corrigé CVE-2025-5349 et CVE-2025-5777, ce dernier a une faille dans NetScaler ADC et les appareils de passerelle suffisamment importants pour que le chercheur Beaumont lui donne un surnom, «Citrix Beld 2». L’Agence américaine de sécurité de la cybersécurité et de l’infrastructure (CISA) a ensuite ajouté cela à sa base de données de défauts connus pour être sous exploitation active. (Le défaut d’origine «Citrix Said», CVE – 2023‑4966, a affecté NetScaler ADC et NetScaler Gateway en 2023.)

Pendant ce temps, il est apparu qu’un deuxième défaut rapiécé des jours après cela, CVE-2025-6543, pourrait également être sous exploitation active. Cela a été confirmé en août par le National National Cyber ​​Security Center (NCSC-NL) qui a indiqué que CVE-2025-6543 avait été utilisé pour cibler les organisations du pays depuis au moins mai.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Les packages NPM malveillants contiennent un voleur d'informations Vidar
Les packages NPM malveillants contiennent un voleur d’informations Vidar
Cloud strategy questions
Pourquoi les entreprises ne parviennent-elles pas à résoudre le problème de mauvaise configuration du cloud ?
Les RSSI vom ERP-Leid profitent
Les RSSI vom ERP-Leid profitent