Det nederländska nationella cybersäkerhetscentret (NCSC) bekräftade att angripare utnyttjade en Citrix NetScaler zero-day-sårbarhet (CVE-2025-6543) för att bryta sig in i flera kritiska organisationer. Dessa intrång skedde tyst, och hotaktörerna raderade spår av sin närvaro.
Om sårbarheten
CVE-2025-6543 härrör från en minnesöverflödessårbarhet i NetScaler ADC- och NetScaler Gateway-enheter. När de är konfigurerade som en Gateway (till exempel VPN, ICA Proxy, CVPN eller RDP Proxy) eller AAA virtual server, tillåter denna bugg oavsiktligt kontrollflöde eller utlöser denial-of-service-tillstånd.
Citrix bekräftade att denna zero-day utnyttjades innan de släppte en patch. NCSC rapporterar att angriparna utnyttjat sårbarheten sedan åtminstone början av maj, långt innan Citrix publicerade sin rådgivning den 25 juni 2025.
Påverkan i Nederländerna
NCSC varnade för att flera nederländska kritiska organisationer utsattes för framgångsrika intrång via denna sårbarhet, och att inkräktarna raderade loggar för att dölja aktiviteten.
En av de drabbade aktörerna, det offentliga åklagarämbetet (Openbaar Ministerie), meddelade att de drabbades av allvarliga störningar efter att ha mottagit varningen från NCSC och började återställa verksamheten i mitten av juli.
Rekommenderade åtgärder och begränsningar
Citrix släppte patchar för drabbade versioner den 25 juni:
| Plattformversion | Fix tillgänglig från |
|---|---|
| 14.1 | 14.1-47.46 och senare |
| 13.1 | 13.1-59.19 och senare |
| 13.1-FIPS / NDcPP | 13.1-37.236 och senare (via support) |
Versionerna 12.1 och 13.0 stöds inte längre men är fortfarande sårbara och måste uppgraderas.
Efter att patchen har installerats bör administratörer avsluta aktiva sessioner med kommandon som:
pgsqlCopyEditkill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessions
Dessa steg hjälper till att stänga luckor från sessioner som angripare kan ha kapat.
Ytterligare risk: Webshell-implementering
Säkerhetsforskare har också upptäckt att angripare utnyttjar CVE-2025-6543 för att implementera webshells och på så sätt upprätthålla åtkomst till drabbade enheter.
Slutsats
Citrix NetScaler zero-day (CVE-2025-6543) gjorde det möjligt för angripare att infiltrera kritiska nederländska institutioner innan en patch fanns tillgänglig. Användare måste uppdatera sårbara system, avsluta aktiva sessioner och skanna efter webshells för att skydda sina nätverk mot dessa dolda intrång.
0 svar till ”Nederländska myndigheter drabbade av intrång via utnyttjad Citrix NetScaler-sårbarhet”