Kritisk sårbarhed i Citrix NetScaler udnyttes aktivt
Citrix har igen fået opmærksomhed fra cybersikkerhedsmiljøet med offentliggørelsen af tre nye sårbarheder i NetScaler ADC og NetScaler Gateway. Den mest alvorlige af dem, EUVD-2025-25838 (CVE-2025-7775), er en 0-dagssårbarhed, som allerede udnyttes aktivt i angreb. Sårbarheden har fået en CVSS-score på 9.2 og er klassificeret som en memory overflow-fejl, der kan føre til Remote Code Execution (RCE) eller Denial of Service (DoS). Det skriver Dark Reading og en række andre medier.
To dages frist til håndtering
Det kritiske ved EUVD-2025-25838 er, at den kan udnyttes uden autentificering og uden brugerinteraktion. Den rammer NetScaler-enheder, der er konfigureret som VPN-gateway, ICA Proxy, CVPN, RDP Proxy eller AAA virtual server. Derudover er enheder med visse IPv6-konfigurationer og HDX-cache-redirection også sårbare.
Af samme grund har CISA også sat sårbarheden i sit katalog over kendte, udnyttede sårbarheder med en to dages frist for håndtering af den.
Citrix har ikke offentliggjort IoC’er, men har delt konfigurationskriterier, som administratorer kan bruge til at vurdere, om deres systemer er sårbare,
To andre sårbarheder blev offentliggjort samtidig:
- CVE-2025-7776 (CVSS 8.8): Memory overflow, der kan føre til uforudsigelig opførsel eller DoS
- CVE-2025-8424 (CVSS 8.7): Fejl i adgangskontrol, som kan give uautoriseret adgang til følsomme funktioner
Det understreges, at der ikke er workarounds, dvs. der er ingen vej uden om en opdatering,, hvilket også anbefales her fra DKCERT.
Læs mere
- https://www.darkreading.com/vulnerabilities-threats/citrix-zero-day-under-active-attack
- https://www.bleepingcomputer.com/news/security/citrix-fixes-critical-netscaler-rce-flaw-exploited-in-zero-day-attacks/
- https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938>
- https://securityaffairs.com/181567/hacking/citrix-fixed-three-netscaler-flaws-one-of-them-actively-exploited-in-the-wild.html>