Nieuws
image

Citrix-systemen aangevallen via nieuwe kritieke RCE-kwetsbaarheid

dinsdag 26 augustus 2025, 16:06 door Redactie, 5 reacties
Laatst bijgewerkt: Gisteren, 16:44

Citrix-systemen zijn aangevallen via een nieuwe kritieke kwetsbaarheid die tot remote code execution leidt, waardoor een aanvaller het systeem kan compromitteren, zo laat Citrix zelf weten. Het bedrijf heeft vandaag beveiligingsupdates uitgebracht om het probleem te verhelpen. De aanvallen waarvoor Citrix waarschuwt vonden plaats voordat de patch beschikbaar was. De kwetsbaarheid, aangeduid als CVE-2025-7775, betreft een buffer overflow in Citrix/NetScaler ADC en Citrix/NetScaler Gateway.

Citrix ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de Citrix Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd Citrix-systeem kan dan ook groot zijn.

Misbruik van de kwetsbaarheid hangt volgens Citrix af van de configuratie. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. Verdere details over het waargenomen misbruik, zoals het aantal getroffen klanten en sinds wanneer de aanvallen plaatsvinden, zijn niet door Citrix gegeven. "Er is een aantal nieuwe NetScaler-kwetsbaarheden die als zerodays worden misbruikt", zegt beveiligingsonderzoeker Kevin Beaumont. "Patches zijn nu beschikbaar."

Volgens de onderzoeker wordt het lek gebruikt om Citrix-systemen met een webshell te infecteren. Via een webshell kan een aanvaller toegang tot een gecompromitteerd systeem behouden en verdere aanvallen uitvoeren, ook als het systeem later wordt gepatcht. Beaumont spreekt in zijn bericht op Mastodon over meerdere kwetsbaarheden. De updates van Citrix verhelpen in totaal drie beveiligingslekken, maar volgens het bedrijf wordt er alleen van CVE-2025-7775 misbruik gemaakt.

Onlangs bleek dat aanvallers op Citrix-systemen van het Openbaar Ministerie hadden ingebroken en liet het Nationaal Cyber Security Centrum (NCSC) weten dat de Citrix-systemen van meerdere vitale Nederlandse organisaties via een kritieke kwetsbaarheid zijn gecompromitteerd. Het ging volgens het NCSC om CVE-2025-6543, waarvan de omschrijving, het onderliggende probleem en impactscore nagenoeg gelijk zijn aan die van CVE-2025-7775.

Reacties (5)
Reageer met quote
Gisteren, 16:37 door Anoniem
Nu wordt weer de vraag... 'wie heeft op tijd gepatched?'... of wie niet...
Reageer met quote
Gisteren, 16:58 door Anoniem
Kevin Beaumont:
Q: Who are you? A: I am Citrix Netscaler Vulnerability. Q: Do you have the slightest idea how little that narrows it down?

Hoeveel bedrijven komen er straks achter dat ze de patch geinstalleerd hebben maar dat er nog wat webshells op de achtergrond draaien met gebruikers van alle 3 en 4 letter afkortingen daar tussen?
(APT, NSA, CIA, FSB enz enz).

Gegevens krijgen is 1, gegevens zelf kunnen inzien is 2...
Reageer met quote
Gisteren, 19:25 door Always Questions
Gelukkig is het OM nog niet live met hun Citrix NetScaler.

Kunnen ze direct patchen....
Reageer met quote
Gisteren, 20:14 door Anoniem
Door Always Questions: Gelukkig is het OM nog niet live met hun Citrix NetScaler.

Kunnen ze direct patchen....

Ik heb alleen een Citrix Netscaler in een testomgeving , omdat een pentest target dat draait. Hij is overigens wel op tijd gepatched.

Alleen de vraag is... welke vulns komen er bij de volgende update weer bij....

Slechts een deel van de vulns krijgt openbare aandacht, een CVE nummer, en een vermelding via CERTs en sites als deze; geldt overigens voor de meeste software.
Reageer met quote
Gisteren, 20:17 door Anoniem
Het NCSC heeft eerder een detectiescript gepubliceerd waarmee compromittatie kan worden gedetecteerd. Dit script is ontwikkeld om compromittatie te detecteren voor de kwetsbaarheid met kenmerk CVE-2025-6543. Dit script is ook geschikt om compromittatie door middel van latere kwetsbaarheden te detecteren. Het NCSC raadt aan om dit script uit te voeren op NetScaler systemen

Het detectiescript kan worden verkregen via https://github.com/NCSC-NL/citrix-2025/blob/main/live-host-bash-check/TLPCLEAR_check_script_cve-2025-6543-v1.8.sh

Bron:
https://advisories.ncsc.nl/2025/ncsc-2025-0268-2.html
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure