11.08.2025
1 хв
528
Національний центр кібербезпеки Нідерландів (**NCSC**) попередив про активну експлуатацію критичної уразливості CVE-2025-6543 у Citrix NetScaler. Атаки вразили кілька «критичних організацій» країни та дозволили зловмисникам виконати віддалений код, після чого вони видаляли сліди компрометації.
Вразливість є переповненням пам’яті, що може призвести до зміни потоку виконання або стану відмови в обслуговуванні на пристроях NetScaler ADC і NetScaler Gateway, коли ті налаштовані як шлюз (VPN, ICA Proxy, CVPN, RDP Proxy) або AAA virtual server.
Citrix ще 25 червня 2025 року випустила бюлетень, повідомивши про ризик, і вказала, що вразливими є версії:
Спочатку вважалося, що вразливість використовується лише для DoS-атак, але зараз підтверджено випадки RCE (віддаленого виконання коду). NCSC вказує, що атаки почалися щонайменше в травні 2025 року — майже за два місяці до випуску патчів, що робить цю кампанію тривалим zero-day.
Серед постраждалих організацій — Прокуратура Нідерландів (OM), яка повідомила про серйозний збій роботи 18 липня та лише нещодавно відновила частину сервісів.
Щоб усунути ризик, Citrix рекомендує оновитися до:
NetScaler ADC/Gateway 14.1-47.46+
13.1-59.19+
13.1-FIPS/NDCcPP 13.1-37.236+
Після оновлення необхідно завершити всі активні сесії:
kill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessions`
Адміністраторам радять перевіряти компрометацію за ознаками: незвична дата створення файлів, дублікати з різними розширеннями, відсутність PHP-файлів у каталогах. NCSC виклав GitHub-скрипт для пошуку підозрілих PHP/XHTML-файлів і IOC.
Ця атака демонструє, що навіть після попередніх інцидентів на кшталт Citrix Bleed 2, zero-day у корпоративних шлюзах залишаються привабливою ціллю для APT-груп. Організаціям слід терміново оновлюватися, ізолювати скомпрометовані системи та проводити глибоку перевірку на предмет прихованих слідів зламу.
