Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Cảnh báo lỗ hổng zero-day nghiêm trọng đã bị khai thác trên Citrix NetScaler

Updated
3 min read
Cảnh báo lỗ hổng zero-day nghiêm trọng đã bị khai thác trên Citrix NetScaler
N
Nguyễn Văn Trung

Tổng quan

Citrix vừa phát hành bản vá cho hai lỗ hổng nghiêm trọng ảnh hưởng đến các sản phẩm NetScaler Application Delivery Controller (ADC)NetScaler Gateway, đặc biệt khi được cấu hình dưới vai trò Gateway hoặc AAA virtual server.

Chi tiết các lỗ hổng

CVE-2025-5777 (CVSS 9.3)

  • Mô tả: Thiếu kiểm tra dữ liệu đầu vào (insufficient input validation) gây ra lỗi đọc tràn bộ nhớ (memory overread).

  • Ảnh hưởng: Rò rỉ thông tin nhạy cảm như session tokens, có thể bị tái sử dụng để chiếm quyền truy cập và bypass cơ chế đa nhân tố (MFA).

  • Liên quan: Có nhiều điểm tương đồng với lỗ hổng CitrixBleed (CVE-2023-4966), từng bị khai thác bởi các nhóm ransomware như LockBit và dẫn đến vụ rò rỉ dữ liệu của Xfinity.

  • Tình trạng khai thác: Chưa ghi nhận khai thác, nhưng có nguy cơ cao.

CVE-2025-6543 (CVSS 9.2)

  • Mô tả: Tràn bộ nhớ (memory overflow), dẫn đến thay đổi luồng thực thi và tấn công từ chối dịch vụ (DoS).

  • Tình trạng khai thác: Đã bị khai thác trong thực tế (zero-day).

Phiên bản bị ảnh hưởng

CVE-2025-5777 ảnh hưởng các phiên bản:

  • NetScaler ADC and NetScaler Gateway 14.1 BEFORE 14.1-43.56

  • NetScaler ADC and NetScaler Gateway 13.1 BEFORE 13.1-58.32

  • NetScaler ADC 13.1-FIPS and NDcPP BEFORE 13.1-37.235-FIPS and NDcPP

  • NetScaler ADC 12.1-FIPS BEFORE 12.1-55.328-FIPS

CVE-2025-6543 ảnh hưởng các phiên bản:

  • NetScaler ADC and NetScaler Gateway 14.1-47.46 and later releases

  • NetScaler ADC and NetScaler Gateway 13.1-59.19 and later releases of 13.1

  • NetScaler ADC 13.1-FIPS and 13.1-NDcPP 13.1-37.236 and later releases of 13.1-FIPS and 13.1-NDcPP

Khuyến nghị xử lý

Phía FPT Threat Intelligent cấp thiết khuyến nghị các biện pháp để khắc phục lỗ hổng trên:

  • Cập nhật bản vá ngay lập tức theo hướng dẫn của Citrix: CVE-2025-6543, CVE-2025-5777

  • Kết thúc toàn bộ phiên làm việc hiện tại sau khi cập nhật bằng cách chạy lệnh:

kill icaconnection -all
kill pcoipConnection -all

⚠️ Cảnh báo: Nhiều tổ chức từng không kết thúc phiên sau khi vá lỗ hổng CitrixBleed, dẫn đến bị khai thác tiếp qua các session token đã bị đánh cắp từ trước khi vá.

  • Kiểm tra hệ thống để phát hiện dấu hiệu bị khai thác, đặc biệt với lỗ hổng CVE-2025-6543 đã bị khai thác ngoài thực tế.

Đơn vị phụ trách ATTT khuyến nghị toàn bộ các tổ chức đang sử dụng Citrix NetScaler khẩn trương rà soát, cập nhật và thực hiện các biện pháp ứng phó cần thiết.

Tham khảo

#threat-intelligence#citrix

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

F

FPT IS Security

782 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.