Kritična Citrix NetScaler ranjivost CVE-2025-6543 aktivno iskorištavana

1. Sažetak
Otkrivena je i aktivno iskorištavana ranjivost CVE-2025-6543 u Citrix NetScaler ADC i NetScaler Gateway uređajima, ocijenjena CVSS-om 9.2. Riječ je o memorijskom preljevu koji može dovesti do neželjenog toka izvršavanja i stanja uskraćivanja usluge, s potvrđenim pokušajima eksploatacije u stvarnim okruženjima. Citrix/NetScaler je objavio zakrpe te naglasio hitnu nadogradnju; CISA je ranjivost uvrstila u KEV katalog, a nizozemski NCSC potvrdio je kompromitacije “kritičnih organizacija”.

2. Detalji
Prema proizvođaču, ranjivost CVE-2025-6543 nastaje zbog greške u obradi memorije i može rezultirati neželjenim tokom izvršavanja koda na uređaju ili izazvati DoS stanje. Utječe na NetScaler ADC/Gateway iz grana 13.1 i 14.1 kada su uređaji konfigurirani kao Gateway ili AAA virtualni serveri. Zakrpane su verzije 14.1-47.46 i novije te 13.1-59.19 i novije; za FIPS/NDcPP izdanja zakrpa je u 13.1-37.236 i novijim.

Eksploatacija je potvrđena iz više izvora. CISA je 30. lipnja 2025. dodala CVE-2025-6543 u KEV katalog, što upućuje na vjerodostojne dokaze o iskorištavanju i podiže prioritet na “patch immediately”. Nizozemski NCSC i domaći mediji navode da su kompromitirane kritične organizacije u Nizozemskoj, a da su akteri uklanjali tragove kako bi otežali forenziku. Izvješća ukazuju da je dio napada rezultirao prekidima usluge, odnosno DoS-om.

Vezano, ali odvojeno od ovog propusta, u istom vremenskom okviru zabilježene su i druge slabosti na NetScaleru (npr. CVE-2025-5777, tzv. “CitrixBleed 2”), pa se u praksi preporučuje kumulativna provjera stanja i zakrpa za sve aktualne NetScaler CVE-ove. To ne mijenja činjenicu da je CVE-2025-6543 zaseban memorijski propust s vlastitim zakrpama i indikacijama eksploatacije.

3. Preporuke
• Odmah nadograditi NetScaler ADC/Gateway na verzije s ispravkom: 14.1-47.46 ili novije; 13.1-59.19 ili novije; 13.1-37.236 ili novije za FIPS/NDcPP. Nakon nadogradnje provjeriti da se uređaj doista izvodi na ciljnoj verziji.

• Ograničiti izloženost upravljačkih i korisničkih servisa: omogućiti pristup Gateway/AAA virtualnim serverima samo s potrebnih mrežnih segmenata ili preko VPN-a te primijeniti segmentaciju i WAF/IPS gdje je primjenjivo.

• Pregledati zapise i metrike: tražiti spike-ove u prometu i ponovljene zahtjeve povezane s prekidom usluge, korelirati s vremenom pada dostupnosti i kernel logovima uređaja; koristiti NetScaler Console “security advisory” nadzorne ploče za inventar i status zakrpa.

• Primijeniti zakrpe i za druge aktualne NetScaler ranjivosti u istom prozoru objave (npr. CVE-2025-5777) te provesti provjeru konfiguracija Gateway/AAA servisa.

4. Reference
• https://support.citrix.com/supporthome/kbsearch/article?articleNumber=CTX694788
• https://nvd.nist.gov/vuln/detail/CVE-2025-6543

‍