Citrix waarschuwt voor ernstige kwetsbaarheden in zijn NetScaler ADC en NetScaler Gateway. Het bedrijf publiceerde drie kritieke gebreken, waarvan één, aangeduid als zero‑day, al actief wordt benut.
De meest alarmerende kwetsbaarheid, CVE‑2025‑7775, is een geheugen‑overflow die aanvallers in staat stelt systemen over te nemen. Of zelfs volledig uit te schakelen via een denial‑of‑serviceaanval. Dit lek kan alleen worden misbruikt op NetScaler‑apparaten die zijn opgezet voor VPN‑ of remote‑access, of die bepaalde IPv6‑webverkeer of content routing verwerken. Citrix heeft de ernst ervan op 9,2 op de CVSS‑schaal gezet. Hoewel de uitbuiting technisch complex is, waarschuwt het bedrijf dat een succesvolle aanval verstrekkende impact kan hebben op de vertrouwelijkheid, integriteit en beschikbaarheid van systemen. Inmiddels zijn er al gevallen geconstateerd van misbruik op niet‑gepatchte apparaten. Citrix adviseert klanten dringend om de beschikbare updates per direct te installeren.
Naast deze zero‑day heeft Citrix nog twee andere kwetsbaarheden geadresseerd. De eerste betreft een fout in geheugenverwerking die kan leiden tot onvoorspelbaar gedrag of een DoS‑situatie. De tweede betreft gebrekkige toegangscontrole waarmee aanvallers mogelijk toegang kunnen krijgen tot gevoelige data en functies binnen het systeem. Beide fouten scoren hoog op de CVSS‑schaal (8,8 en 8,7).
NCSC geeft waarschuwing
Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat dit niet louter hypothetisch is. De kwetsbare configuratie komt in veel Citrix‑omgevingen voor, waardoor grootschalig misbruik als zeer waarschijnlijk wordt gezien.
Onderzoekers zien parallellen met eerdere incidenten zoals de CitrixBleed-kwetsbaarheid uit 2023 en de opvolger CitrixBleed2, die vergelijkbare componenten troffen en massaal misbruikt werden door onder andere ransomwaregroepen. Hoewel de nieuwe fouten dezelfde zones raken, benadrukken ze dat het om onafhankelijke kwetsbaarheden gaat.
De situatie wordt extra zorgelijk omdat veel NetScaler-installaties draaien op verouderde, niet-ondersteunde software. Analyses tonen aan dat bijna twintig procent van deze systemen in Nederland en internationaal end-of-life-versies betreffen—tikkende tijdbommen die, met de recente exploitatiegeschiedenis, uiterst gevaarlijk zijn.
NetScaler-apparaten zijn aantrekkelijke doelwitten omdat ze aan de netwerkrand opereren en verantwoordelijk zijn voor authenticatie en toegang tot cruciale bedrijfsbronnen. Veel grote organisaties vertrouwen hierop, wat de potentie voor grootschalige aanvallen verhoogt. Dat de Amerikaanse CISA inmiddels tien Citrix-kwetsbaarheden in haar Known Exploited Vulnerabilities-catalogus heeft opgenomen, waarvan zes in de afgelopen twee jaar zijn toegevoegd, onderstreept het blijvende risico.