Majdnem 30 000 Citrix NetScaler példány maradt kitéve egy kritikus távoli kódfuttatási (RCE) sebezhetőségnek (CVE-2025-7775, CVSS: 9.2), amelyet már aktívan kihasználnak a támadók.
A Citrix egy amerikai multinacionális vállalat, amely felhőszolgáltatásokat, virtualizációs megoldásokat, alkalmazás- és asztali virtualizációt, hálózati szolgáltatásokat, valamint szoftver mint szolgáltatás (SaaS) technológiákat biztosít.
A sérülékenység részletei
A biztonsági rés a NetScaler ADC és a NetScaler Gateway termékeket érinti. Ez egy memória túlcsordulási sebezhetőség, amely távoli kódfuttatást (RCE) és/vagy szolgáltatásmegtagadást (DoS) tesz lehetővé a következő konfigurációkban:
- NetScaler Gateway (VPN szerver, ICA Proxy, CVPN, RDP Proxy) vagy AAA virtuális szerver,
- NetScaler ADC / Gateway 13.1, 14.1, 13.1-FIPS és NDcPP verziók: HTTP, SSL vagy HTTP_QUIC típusú LB virtuális szerverek IPv6 szolgáltatásokhoz kötve,
- NetScaler ADC / Gateway 13.1, 14.1, 13.1-FIPS és NDcPP verziók: LB virtuális szerverek IPv6 DBS szolgáltatásokhoz kötve,
- HDX típusú CR virtuális szerverek.
A Citrix biztonsági frissítéseket adott ki, miután a hibát a támadók nulladik napi (zero-day) sérülékenységként kihasználták a nyilvános közzététel előtt.
Érintett verziók
A hibát a következő NetScaler kiadások tartalmazzák:
- 14.1 a 14.1-47.48 verzió előtt,
- 13.1 a 13.1-59.22 verzió előtt,
- 13.1-FIPS/NDcPP a 13.1-37.241-FIPS/NDcPP verzió előtt,
- 12.1-FIPS/NDcPP a 12.1-55.330-FIPS/NDcPP verzióig bezárólag.
A Citrix nem adott ki kerülő megoldást, helyette azonnali frissítést sürget a javított verziókra.
Kitettség mértéke
A Shadowserver Foundation adatai szerint, közvetlenül a hiba nyilvánosságra hozatala után közel 30 000 interneten elérhető Citrix rendszer sebezhető. Az érintett eszközök földrajzi eloszlása:
- Egyesült Államok: 10 100
- Németország: 4 300
- Egyesült Királyság: 1 400
- Hollandia: 1 300
- Svájc: 1 300
- Ausztrália: 880
- Kanada: 820
- Franciaország: 600
Exploit részletek
A Citrix ugyan még nem tett közzé kompromittálási indikátorokat (IoC), de megerősítette, hogy a sebezhetőség a következő konfigurációkat érinti:
- Gateway/AAA virtuális szerverek (VPN, ICA Proxy, CVPN, RDP Proxy),
- HTTP/SSL/HTTP_QUIC típusú LB virtuális szerverek IPv6 vagy DBS IPv6 szolgáltatásokkal,
- HDX típusú CR virtuális szerverek.
Javított verziók
A rendszergazdáknak az alábbi verziókra kell frissíteniük:
- 14.1-47.48 és újabb,
- 13.1-59.22 és újabb,
- 13.1-FIPS / 13.1-NDcPP 13.1-37.241 és újabb,
- 12.1-FIPS / 12.1-NDcPP 12.1-55.330 és újabb.
További hibák
Ugyanebben a közleményben a Citrix két másik magas súlyosságú sérülékenységet is bejelentett:
- CVE-2025-7776 (CVSS: 8.8) – memória túlcsordulás miatti szolgáltatásmegtagadás (DoS) a NetScaler ADC és Gateway esetében, amikor Gateway (VPN, ICA Proxy, CVPN, RDP Proxy) PCoIP profillal van konfigurálva.
- CVE-2025-8424 (CVSS: 8.7) – helytelen hozzáférés-vezérlés a NetScaler menedzsment felületén, amely lehetővé teszi a támadók számára, hogy jogosulatlanul férjenek hozzá NSIP, Cluster Management IP, helyi GSLB Site IP vagy SNIP interfészekhez.
Fontos, hogy a 12.1 és 13.0 (nem-FIPS/NDcPP) verziók is érintettek, de ezek élettartamuk végére értek, így a felhasználóknak támogatott kiadásra kell váltaniuk.
CISA figyelmeztetés
A CISA közleménye szerint:
„A Citrix NetScaler ADC és NetScaler Gateway memória túlcsordulási sebezhetőséget tartalmaz, amely lehetővé teszi a távoli kódfuttatást és/vagy szolgáltatásmegtagadást.”
A CISA a CVE-2025-7775 hibát hozzáadta a Known Exploited Vulnerabilities (KEV) katalógusához. A szövetségi ügynökségeknek augusztus 28-ig kell telepíteniük a Citrix javításait, vagy megszüntetniük az érintett termékek használatát – ez is mutatja a fenyegetés súlyosságát.
