Citrix komt met een waarschuwing voor een ernstige kwetsbaarheid in NetScaler-apparaten, aangeduid als CVE-2025-6543. Deze fout wordt actief misbruikt. De kwetsbaarheid leidt vaak tot een denial of service-situatie, waarbij getroffen apparaten offline raken en niet meer reageren.
Dit meldt BleepingComputer. Volgens het beveiligingsadvies van Citrix zijn er al aanvallen waargenomen op systemen die nog niet zijn voorzien van de benodigde beveiligingsupdate.
De kwetsbaarheid, intern aangeduid als CTX694788, betreft een kritisch beveiligingslek in zowel NetScaler ADC als NetScaler Gateway. Het probleem kan worden veroorzaakt door externe verzoeken van onbevoegde gebruikers. Dit stelt de kwetsbare apparaten buiten werking. Systemen die zijn geconfigureerd als Gateway zijn vatbaar voor deze fout.
De fout treft verschillende versies van de NetScaler-productlijn. Zo zijn onder andere NetScaler ADC en Gateway versies vóór 14.1-47.46, versie 13.1 vóór 13.1-59.19, en NetScaler ADC 13.1-FIPS en NDcPP vóór versie 13.1-37.236 gevoelig voor deze kwetsbaarheid. Citrix bracht updates uit die het probleem verhelpen in de genoemde versies. De leverancier adviseert organisaties om die zo snel mogelijk toe te passen.
Eerdere kwetsbaarheden niet verholpen
Deze nieuwe waarschuwing komt op een moment dat systeembeheerders ook nog bezig zijn met een andere ernstige kwetsbaarheid: CitrixBleed 2. Deze fout, geregistreerd als CVE-2025-5777, stelt aanvallers in staat om gebruikerssessies over te nemen door sessietokens uit het geheugen van een kwetsbaar apparaat te halen. CitrixBleed 2 vertoont sterke gelijkenis met een oudere fout uit 2023, die criminelen inzetten bij aanvallen op overheidsinstellingen en werd misbruikt door ransomwaregroepen.
Citrix raadt beheerders aan om NetScaler-systemen direct te voorzien van de laatste updates. Maar ook om daarnaast actief te monitoren op afwijkende gebruikerssessies of ongebruikelijk gedrag. Ook het herzien van toegangsinstellingen wordt aangeraden om verdere schade te voorkomen. BleepingComputer nam contact op met Citrix voor meer informatie over de aard van de aanvallen, maar wacht nog op een reactie.