Det nederlandske nasjonale senteret for cybersikkerhet (NCSC) bekreftet at angripere utnyttet en Citrix NetScaler zero-day-sårbarhet (CVE-2025-6543) for å bryte seg inn i flere kritiske organisasjoner. Disse innbruddene skjedde stille, og trusselaktørene fjernet spor av sin tilstedeværelse.
Om sårbarheten
CVE-2025-6543 stammer fra en minneoverflytsfeil i NetScaler ADC- og NetScaler Gateway-enheter. Når de er konfigurert som en Gateway (for eksempel VPN, ICA Proxy, CVPN eller RDP Proxy) eller AAA virtual server, tillater denne feilen utilsiktet kontrollflyt eller utløser denial-of-service-tilstander.
Citrix bekreftet at denne zero-day-en ble utnyttet før de utga en oppdatering. NCSC-rapporter indikerer at angriperne utnyttet sårbarheten siden minst tidlig i mai, lenge før Citrix publiserte sin sikkerhetsmelding 25. juni 2025.
Påvirkning i Nederland
NCSC advarte om at flere nederlandske kritiske organisasjoner ble utsatt for vellykkede innbrudd via denne sårbarheten, og at inntrengerne fjernet logger for å skjule aktiviteten.
En av de berørte enhetene, riksadvokatembetet (Openbaar Ministerie), opplyste at de opplevde alvorlige forstyrrelser etter å ha mottatt varslet fra NCSC og startet gjenoppretting av driften i midten av juli.
Anbefalte tiltak og begrensning
Citrix utga oppdateringer for berørte versjoner 25. juni:
| Plattformversjon | Fiks tilgjengelig fra |
|---|---|
| 14.1 | 14.1-47.46 og nyere |
| 13.1 | 13.1-59.19 og nyere |
| 13.1-FIPS / NDcPP | 13.1-37.236 og nyere (via support) |
Versjonene 12.1 og 13.0 støttes ikke lenger, men er fortsatt sårbare og må oppgraderes.
Etter at oppdateringen er installert, bør administratorer avslutte aktive økter ved å bruke kommandoer som:
pgsqlCopyEditkill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessions
Disse trinnene bidrar til å lukke hull fra økter som angripere kan ha kapret.
Ytterligere risiko: Webshell-distribusjon
Sikkerhetsforskere har også avdekket at angripere utnytter CVE-2025-6543 til å distribuere webshells for vedvarende tilgang til berørte enheter.
Konklusjon
Citrix NetScaler zero-day (CVE-2025-6543) gjorde det mulig for angripere å infiltrere kritiske nederlandske institusjoner før en oppdatering ble tilgjengelig. Brukere må oppdatere sårbare systemer, avslutte aktive økter og skanne etter webshells for å sikre nettverkene sine mot disse skjulte inntrengingene.
0 responses to “Nederlandske byråer rammet av datainnbrudd via utnyttet Citrix NetScaler-sårbarhet”