Национальный центр кибербезопасности Нидерландов (NCSC-NL) выпустил предупреждение об активных кибератаках, использующих критическую уязвимость в продуктах Citrix NetScaler. Эти атаки, нацеленные на ключевые организации в стране, осуществлялись как zero-day эксплойт с начала мая 2025 года, почти за два месяца до публичного раскрытия информации.
Уязвимость под идентификатором CVE-2025-6543 получила оценку 9.2 по шкале CVSS, что классифицируется как критический уровень угрозы. Эксплуатация этого дефекта приводит к непреднамеренному управлению потоком выполнения программного кода и может вызвать отказ в обслуживании (DoS).
Атаке подвержены устройства, на которых Citrix NetScaler сконфигурирован в одном из двух режимов: в качестве шлюза (Gateway), включающего виртуальный сервер VPN, ICA Proxy, CVPN или RDP Proxy, либо в качестве виртуального сервера аутентификации, авторизации и учета (AAA).
Компания Citrix подтвердила наличие уязвимости в следующих версиях своих продуктов:
NetScaler ADC и NetScaler Gateway версии 14.1 до обновления 14.1-47.46.
NetScaler ADC и NetScaler Gateway версии 13.1 до обновления 13.1-59.19.
NetScaler ADC версии 13.1-FIPS и NDcPP до обновления 13.1-37.236-FIPS и NDcPP.
Хронология событий показывает, что злоумышленники действовали скрытно и на опережение. Эксплуатация уязвимости CVE-2025-6543 началась в начале мая 2025 года. 30 июня 2025 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV). Факт активной эксплуатации был окончательно установлен NCSC-NL только 16 июля 2025 года.
Атакующие описываются как «квалифицированный злоумышленник». В ходе атак они «предприняли шаги для стирания следов с целью сокрытия компрометации», что значительно усложнило их обнаружение. Основной целью стали несколько критически важных организаций на территории Нидерландов.
NCSC-NL предоставил конкретные индикаторы для выявления компрометации систем. Одним из главных признаков является наличие вредоносных веб-оболочек на скомпрометированных устройствах Citrix. Веб-оболочка определяется как «фрагмент вредоносного кода, который предоставляет злоумышленнику удаленный доступ к системе».
Для обнаружения вторжения администраторам рекомендуется проверить файловую систему на наличие файлов с расширением
Дополнительно NCSC-NL советует провести аудит учетных записей. Необходимо проверить наличие недавно созданных аккаунтов на устройстве NetScaler, уделяя особое внимание тем, которым были предоставлены «повышенные права».
Ситуация усугубляется тем, что это не единственная недавняя критическая уязвимость в продуктах Citrix. В мае 2025 года CISA добавила в каталог KEV другую уязвимость, CVE-2025-5777, с оценкой 9.3 (Критическая), которая также затрагивает продукты NetScaler.
Изображение носит иллюстративный характер
Уязвимость под идентификатором CVE-2025-6543 получила оценку 9.2 по шкале CVSS, что классифицируется как критический уровень угрозы. Эксплуатация этого дефекта приводит к непреднамеренному управлению потоком выполнения программного кода и может вызвать отказ в обслуживании (DoS).
Атаке подвержены устройства, на которых Citrix NetScaler сконфигурирован в одном из двух режимов: в качестве шлюза (Gateway), включающего виртуальный сервер VPN, ICA Proxy, CVPN или RDP Proxy, либо в качестве виртуального сервера аутентификации, авторизации и учета (AAA).
Компания Citrix подтвердила наличие уязвимости в следующих версиях своих продуктов:
NetScaler ADC и NetScaler Gateway версии 14.1 до обновления 14.1-47.46.
NetScaler ADC и NetScaler Gateway версии 13.1 до обновления 13.1-59.19.
NetScaler ADC версии 13.1-FIPS и NDcPP до обновления 13.1-37.236-FIPS и NDcPP.
Хронология событий показывает, что злоумышленники действовали скрытно и на опережение. Эксплуатация уязвимости CVE-2025-6543 началась в начале мая 2025 года. 30 июня 2025 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV). Факт активной эксплуатации был окончательно установлен NCSC-NL только 16 июля 2025 года.
Атакующие описываются как «квалифицированный злоумышленник». В ходе атак они «предприняли шаги для стирания следов с целью сокрытия компрометации», что значительно усложнило их обнаружение. Основной целью стали несколько критически важных организаций на территории Нидерландов.
NCSC-NL предоставил конкретные индикаторы для выявления компрометации систем. Одним из главных признаков является наличие вредоносных веб-оболочек на скомпрометированных устройствах Citrix. Веб-оболочка определяется как «фрагмент вредоносного кода, который предоставляет злоумышленнику удаленный доступ к системе».
Для обнаружения вторжения администраторам рекомендуется проверить файловую систему на наличие файлов с расширением
.php в системных папках Citrix NetScaler. Такие файлы не должны присутствовать в стандартной конфигурации и с высокой вероятностью указывают на взлом. Дополнительно NCSC-NL советует провести аудит учетных записей. Необходимо проверить наличие недавно созданных аккаунтов на устройстве NetScaler, уделяя особое внимание тем, которым были предоставлены «повышенные права».
Ситуация усугубляется тем, что это не единственная недавняя критическая уязвимость в продуктах Citrix. В мае 2025 года CISA добавила в каталог KEV другую уязвимость, CVE-2025-5777, с оценкой 9.3 (Критическая), которая также затрагивает продукты NetScaler.
