Het Dutch National Cyber Security Center (NCSC-NL) heeft gewaarschuwd voor cyberaanvallen die een recent bekendgemaakte kritische beveiligingsfout met invloed zijn op Citrix NetScaler ADC-producten om organisaties in het land te schenden.
De NCSC-NL zei dat het de exploitatie van CVE-2025-6543 ontdekte gericht op verschillende kritieke organisaties binnen Nederland, en dat onderzoeken aan de gang zijn om de omvang van de impact te bepalen.
CVE-2025-6543 (CVSS-score: 9.2) is een kritische beveiligingslek in NetScaler ADC die resulteert in onbedoelde besturingsstroom en Denial-of-Service (DOS) wanneer de apparaten worden geconfigureerd als een gateway (VPN Virtual Server, ICA Proxy, CVPN, RDP-proxy) of AAA-virtuele server.
De kwetsbaarheid werd voor het eerst bekendgemaakt eind juni 2025, met patches uitgebracht in de volgende versies –
- NetScaler ADC en NetScaler Gateway 14.1 vóór 14.1-47.46
- NetScaler ADC en NetScaler Gateway 13.1 vóór 13.1-59.19
- NetScaler ADC 13.1-FIPS en NDCPP vóór 13.1-37.236-FIPS en NDCPP
Vanaf 30 juni 2025 is CVE-2025-6543 toegevoegd aan de bekende Exterded Vulnerabilities (KEV) catalogus van de US Cybersecurity and Infrastructure Security Agency (CISA) Bekende Eutteed Vulnerabilities (KEV). Nog een fout in hetzelfde product (CVE-2025-5777, CVSS-score: 9.3) werd vorige maand ook op de lijst geplaatst.
NCSC-NL beschreef de activiteit als waarschijnlijk het werk van een geavanceerde dreigingsacteur, het toevoegen van de kwetsbaarheid is sinds begin mei 2025 als een nul-dag geëxploiteerd-bijna twee maanden voordat het publiekelijk werd bekendgemaakt-en de aanvallers hebben stappen gezet om sporen te wissen in een poging om het compromis te verbergen. De uitbuiting werd ontdekt op 16 juli 2025.
“Tijdens het onderzoek werden kwaadwillende webschalen gevonden op Citrix -apparaten,” zei het bureau. “Een webshell is een stuk malafide code die een aanvaller op afstand toegang geeft tot het systeem. De aanvaller kan een webshell plaatsen door een kwetsbaarheid te misbruiken.”
Om het risico te verminderen dat voortvloeit uit CVE-2025-6543, wordt geadviseerd om de nieuwste updates toe te passen en permanente en actieve sessies te beëindigen door de volgende opdrachten uit te voeren-
- Dood ICAConnection -Al
- Dood pcoipConnection -all
- Dood AAA -sessie -All
- Dood RDP -verbinding -ALL
- Duidelijke LB -persistenties
Organisaties kunnen ook een shell-script uitvoeren dat door NCSC-NL beschikbaar wordt gesteld om te jagen op indicatoren van compromis geassocieerd met de exploitatie van CVE-2025-6543.
“Bestanden met een andere .php-extensie in Citrix NetScaler-systeemmappen kunnen een indicatie zijn van misbruik,” zei NCSC-NL. “Controleer op nieuw gemaakte accounts op de NetScaler en specifiek voor rekeningen met verhoogde rechten.”
