Det hollandske nationale center for cybersikkerhed (NCSC) bekræftede, at angribere udnyttede en Citrix NetScaler zero-day-sårbarhed (CVE-2025-6543) til at bryde ind i flere kritiske organisationer. Disse brud skete i stilhed, og trusselsaktørerne fjernede spor af deres tilstedeværelse.
Om sårbarheden
CVE-2025-6543 stammer fra en hukommelsesoverløbsfejl i NetScaler ADC- og NetScaler Gateway-enheder. Når de er konfigureret som en Gateway (såsom VPN, ICA Proxy, CVPN eller RDP Proxy) eller AAA virtual server, tillader denne fejl utilsigtet kontrolflow eller udløser denial-of-service-tilstande.
Citrix bekræftede, at denne zero-day blev udnyttet, før de udgav en opdatering. NCSC-rapporter indikerer, at angriberne har udnyttet sårbarheden siden mindst tidligt i maj, længe før Citrix offentliggjorde deres sikkerhedsmeddelelse den 25. juni 2025.
Påvirkning i Holland
NCSC advarede om, at flere hollandske kritiske organisationer blev udsat for vellykkede brud via denne sårbarhed, og at indtrængerne fjernede logfiler for at skjule aktiviteten.
En af de berørte enheder, anklagemyndigheden (Openbaar Ministerie), oplyste, at de oplevede alvorlige forstyrrelser efter at have modtaget advarslen fra NCSC og begyndte at gendanne driften i midten af juli.
Anbefalede rettelser og afhjælpning
Citrix udgav opdateringer til berørte versioner den 25. juni:
| Platformversion | Rettelse tilgængelig fra |
|---|---|
| 14.1 | 14.1-47.46 og nyere |
| 13.1 | 13.1-59.19 og nyere |
| 13.1-FIPS / NDcPP | 13.1-37.236 og nyere (via support) |
Versionerne 12.1 og 13.0 understøttes ikke længere, men er stadig sårbare og skal opgraderes.
Når opdateringen er installeret, bør administratorer afslutte aktive sessioner ved hjælp af kommandoer som:
pgsqlCopyEditkill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessions
Disse trin hjælper med at lukke huller fra sessioner, som angribere kan have overtaget.
Yderligere risiko: Webshell-implementering
Sikkerhedsforskere har også opdaget, at angribere udnytter CVE-2025-6543 til at implementere webshells for vedvarende adgang til berørte enheder.
Konklusion
Citrix NetScaler zero-day (CVE-2025-6543) gjorde det muligt for angribere at infiltrere kritiske hollandske institutioner, før en opdatering blev tilgængelig. Brugere skal opdatere sårbare systemer, afslutte aktive sessioner og scanne efter webshells for at sikre deres netværk mod disse skjulte indtrængninger.
0 svar til “Hollandske myndigheder ramt af brud gennem udnyttet Citrix NetScaler-sårbarhed”