Citrix a lansat actualizări după ce o vulnerabilitate critică, catalogată CVE-2025-7775, a început să fie exploatată activ și lasă expuse peste 28.200 de instanțe NetScaler ADC și NetScaler Gateway la atacuri care permit executarea de cod la distanță. Vestea vine după anunțuri făcute de furnizor și de agenția americană CISA.
Problema afectează mai multe versiuni de NetScaler: 14.1 înainte de 14.1-47.48, 13.1 înainte de 13.1-59.22, 13.1-FIPS/NDcPP înainte de 13.1-37.241-FIPS/NDcPP și 12.1-FIPS/NDcPP până la 12.1-55.330-FIPS/NDcPP. Citrix a transmis că nu există soluții temporare sau măsuri de atenuare între timp, de aceea recomandarea fermă este actualizarea firmware-ului imediat. Practic, nu e momentul pentru improvizații IT.
Scanările realizate de The Shadowserver Foundation la scurt timp după dezvăluire au identificat peste 28.000 de instanțe vulnerabile. Majoritatea se află în Statele Unite (aproximativ 10.100), urmate de Germania (4.300), Regatul Unit (1.400), Olanda (1.300), Elveția (1.300), Australia (880), Canada (820) și Franța (600). Harta expunerii arată clar că problema nu e izolată la o singură regiune.
Citrix nu a publicat indicatori de compromis legați de exploatare, dar a descris scenariile în care NetScaler este afectat: atunci când este configurat ca Gateway/AAA virtual server (VPN, ICA Proxy, CVPN, RDP Proxy), ca LB virtual server (HTTP/SSL/HTTP_QUIC) legat de servicii IPv6 sau DBS IPv6 sau ca CR virtual server de tip HDX. Administratorii ar trebui să verifice aceste configurații în mediile lor și să prioritizeze patch-urile.
Versiunile recomandate pentru actualizare, care repară vulnerabilitatea, sunt: 14.1-47.48 și ulterioare; 13.1-59.22 și ulterioare; 13.1-FIPS / 13.1-NDcPP 13.1-37.241 și ulterioare; 12.1-FIPS / 12.1-NDcPP 12.1-55.330 și ulterioare. Totodată, Citrix a mai raportat două probleme de severitate mare: CVE-2025-7776, o vulnerabilitate care poate provoca refuz de serviciu prin depășire de memorie, și CVE-2025-8424, o eroare de control al accesului la interfața de management.
Este important de reținut că versiunile 12.1 și 13.0 (non-FIPS/NDcPP) sunt de asemenea vulnerabile, dar au intrat în stare End of Life. Clienții care le mai folosesc trebuie să planifice trecerea la o versiune suportată cât mai curând.
CISA a inclus CVE-2025-7775 în catalogul Known Exploited Vulnerabilities și a cerut agențiilor federale americane să aplice patch-urile sau să întrerupă utilizarea produselor afectate până la 28 august, subliniind astfel riscul ridicat asociat exploatării.
Ai verificat recent dacă echipamentele NetScaler din rețeaua ta au fost actualizate?
daaar patch imediat, nu sta pe gânduri
of, îmi amintesc când chestii din astea erau doar hârtii pe birou și nu o cursă contra-timp pe care o trăiești în pijama la 2 dimineața. am avut un NetScaler vechi pe care l-am înlocuit pentru că „mergea încă”, și uite că acum parcă ai o teamă veche revenită — parcă tot ce-am construit se poate evapora dintr-un patch ignorat. nu prea-mi place cum totul devine responsabilitate personală: admini obosiți, bugete tăiate, update-uri amânate. verificați, da? nu ca o știre, ci ca o promisiune pe care n-o vrei ruptă.
Aoleu, iarasi patch-uri late pe ultima suta de metri… eu am vazut azi ca la noi au ramas vreo 3 Netscaler pe 13.0 (da, stiu, e EOL dar ce sa facem, migrarile-s lente). Daca nu poti updata imediat, macar izoleaza device-ul in retea si blocheaza accesul extern la management, ca minimal e ceva. CISA si Shadowserver au dat de treaba serioasa, deci nu e hype, cineva deja exploateaza chestia asta in the wild — deci nu e vreme de improvizatii.
Ps: verifica si configuratiile de Gateway/AAA si LB cu IPv6 cum zice articolul, multă lume uita de IPv6 si ramane expusa; si nu uitati backup config inainte de upgrade, ca la unele firme update-ul poate schimba chestii si raman servere inaccesibile. Succes, si da, verifica reteaua ta acum, nu mai bine maine 🙂
Ai verificat dacă NetScaler-urile voastre sunt pe versiunile 14.1-47.48/13.1-59.22/13.1-37.241/12.1-55.330 sau mai noi, sau încă rulați EOL 12.1/13.0 și n-aveți plan de upgrade, căci CISA cere patch/oprire până pe 28 aug și mai e exploatare activă (eu încă nu-s sigur la noi, voi?)