Ernstige kwetsbaarheden in Citrix Netscaler ADC en NetScaler Gateway

Update - Extra duiding en handelingsperspectief

23 juli 2025

Het Nationaal Cyber Security Centrum (NCSC) heeft een overzicht gemaakt van alle relevante informatie over de kwetsbaarheden in Citrix NetScaler ADC en NetScaler Gateway. Deze uitwerkingen bieden extra duiding en handelingsperspectief in het omgaan met deze kwetsbaarheden. 

Update - Aanvullend handelingsperspectief 

18 juli 2025

Een beveiligingsonderzoeker heeft een blogpost met aanvullend handelingsperspectief gepubliceerd, hierin staan onder andere Indicators of Compromise (IoC's). Daarnaast deelt Citrix op verzoek IoC's met klanten. 
 
Het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) adviseren klanten van Citrix om de IoC's bij Citrix op te vragen en hun systemen op aanwezigheid van de IoC's te controleren.

Citrix adviseert daarnaast om alle actieve ICA- en PCoIP-connecties te beëindigen. De blog van DoublePulsar van 15 juli 2025 benadrukt dat ook RDP-, AAA- en load balancing (LB) persistent sessies beëindigd moeten worden. Het NCSC en het DTC nemen deze adviezen over, en adviseren bedrijven en organisaties om de genoemde connecties en sessies te beëindigen nadat de beveiligingsupdates zijn geïnstalleerd. 

Het NCSC en het DTC adviseren aan alle bedrijven en organisaties die NetScaler ADC of NetScaler Gateway gebruiken om technisch onderzoek te doen naar mogelijk misbruik van CVE-2025-5777. Zie het handelingsperspectief van het NCSC voor meer informatie. Vraag zo nodig je IT-dienstverlener om je hierbij te helpen. 
 
De meest actuele informatie over deze kwetsbaarheid is te vinden op de volgende deze webpagina's van Netscaler en op de website van het NCSC:

• https://www.netscaler.com/blog/news/netscaler-critical-security-updates-for-cve-2025-6543-and-cve-2025-5777/
• https://www.netscaler.com/blog/news/evaluating-netscaler-logs-for-indicators-of-attempted-exploitation-of-cve-2025-5777/
• https://www.ncsc.nl/actueel/nieuws/2025/07/21/informatie-over-kwetsbaarheden-in-citrix-netscaler-adc-en-netscaler-gateway

Update - Proof-of-Concept-code verschenen 

8 juli 2025

Er is Proof-of-Concept-code (PoC) verschenen voor de kwetsbaarheid met kenmerk CVE-2025-5777. De PoC beschrijft hoe er misbruik kan worden gemaakt van de kwetsbaarheid. Het risico van grootschalig misbruik na uitbrengen van deze PoC is aanwezig.

Update - Kwetsbaarheid op afstand te misbruiken

25 juni 2025

De kwetsbaarheid met kenmerk CVE-2025-5777 is, in tegenstelling tot eerdere informatie, op afstand en zonder authenticatie te misbruiken. De inschaling blijft 'High/High'. Dit betekent dat zowel de kans op misbruik, als de kans op schade groot is.

Oorspronkelijk bericht

18 juni 2025

Softwarebedrijf Citrix heeft kwetsbaarheden verholpen in NetScaler ADC en NetScaler Gateway. De kwetsbaarheden zijn aangeduid met het kenmerk CVE-2025-5777 en CVE-2025-5349. Het Nationaal Cyber Security Centrum (NCSC) acht het waarschijnlijk dat deze kwetsbaarheden op korte termijn zullen worden misbruikt. Daarom heeft het NCSC de kwetsbaarheden ingeschaald als 'High/High'. Dit betekent dat zowel de kans op misbruik, als de kans op schade groot is.

Wat is het risico?

De kwetsbaarheid met het kenmerk CVE-2025-5777 gaat om een 'Out-of-Bounds read'. Dit is wanneer een kwaadwillende een applicatie gegevens laat lezen buiten de grenzen van het daarvoor bedoelde geheugen. De kwaadwillende kan hiermee mogelijk toegang krijgen tot gevoelige informatie.

De kwetsbaarheid met het kenmerk CVE-2025-5349 stelt een kwaadwillende in staat om ongeautoriseerde toegang tot bepaalde onderdelen van het systeem te verkrijgen. De kwaadwillende heeft hiervoor wel toegang nodig tot specifieke netwerkinterfaces.

Wat kun je doen?

Er zijn beveiligingsupdates uitgebracht. Het Digital Trust Center (DTC) adviseert bedrijven om deze zo snel mogelijk te (laten) installeren. In het beveiligingsadvies van Citrix vind je daarnaast aanvullend handelingsperspectief. Vraag zo nodig je IT-dienstverlener om je hierbij te helpen.