Kritisk Citrix-sårbarhed udnyttet mod organisationer i Holland

Eskil Sørensen
08.12.2025 11:36
Sandsynlighed er blevet til virkelighed.

Hollandske cybersikkerhedscenter NCSC melder, at en kritisk sårbarhed i Citrix NetScaler er blevet udnyttet som 0-dag til at kompromittere flere centrale organisationer i Holland.

Det skriver Bleeping Computer.

Sårbarheden har id’et EUVD-2025-19085 CVE-2025-6543 og en CVSS-score på 9,2. Den fik ved offentliggørelsen den 25. juni og senere opdatering den 30. juni en EPSS-score på 4,01 pct. Det vil sige, at der på daværende tidspunkt blev sat en sandsynlighed på 4 pct. på, at ville blive udnyttet in-the-wild inden for de efterfølgende 30 dage. Det blev så konstateret allerede et par dage senere, da CISA den 30. juni registrerede den i sit katalog over kendte udnyttede sårbarheder. Nu er der så rapporter om udnyttelse i Holland. 

Sårbarheden er en memory overflow-fejl, som kan føre til uautoriseret kontrol over systemet eller nedlukning af tjenester. Citrix har  bekræftet, at sårbarheden påvirker NetScaler ADC og Gateway-produkter, når de er konfigureret som VPN- eller proxyservere.

Fjerner spor

Ifølge NCSC har én eller flere aktører med avancerede metoder udnyttet CVE-2025-6543 som en 0-dagssårbarhed siden begyndelsen af maj – næsten to måneder før Citrix offentliggjorde en sikkerhedsbulletin og frigav patches. Angriberne har desuden aktivt fjernet spor for at skjule kompromitteringen.

Et af de berørte mål er den hollandske anklagemyndighed (Openbaar Ministerie), som den 18. juli bekræftede, at de var blevet kompromitteret. Organisationen oplevede alvorlige driftsforstyrrelser og har først for nylig genoprettet centrale funktioner som e-mail.

Spor og IoC'er 

Citrix har identificeret følgende versioner som sårbare:

  • 14.1 før 14.1-47.46
  • 13.1 før 13.1-59.19
  • 13.1-FIPS og 13.1-NDcPP før 13.1-37.236
  • 12.1 og 13.0 (End-of-Life – ingen patches, opgradering anbefales)

Det anbefales at opdatere til de nyeste versioner.

NCSC anbefaler ydermere systemadministratorer at lede efter tegn på kompromittering i form af 

  • Usædvanlige oprettelsesdatoer for filer
  • Dubletter af filnavne med forskellige filendelser
  • Fravær af PHP-filer i bestemte mapper

Et værktøj til scanning for mistænkelige filer og IoC'er er tilgængeligt via NCSC’s GitHub.

Læs mere

Sårbarhed