El Centro Nacional de Ciberseguridad de los Países Bajos (NCSC-NL) advierte de los ataques cibernéticos que utilizan fallas de seguridad críticas recientes para violar los productos ADC Netscaler Citrix.
El NCSC-NL dijo que descubrió la explotación de CVE-2025-6543 dirigido a varias organizaciones importantes en los Países Bajos, diciendo que la investigación está en curso para determinar el alcance del impacto.
CVE-2025-6543 (puntaje CVSS: 9.2) es una vulnerabilidad de seguridad crítica en Netscaler ADC que da como resultado flujos de control no intencionados y la negación del servicio (DOS) cuando el dispositivo está configurado como una puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, RDP proxy) o AAA Virtual Server.
La vulnerabilidad se reveló por primera vez a fines de junio de 2025, con parches lanzados en la próxima versión –
NetScaler ADC y NetScaler Gateway 14.1 NetScaler ADC y Netscaler Gateway 13.1 antes de 14.1-47.46 Netscaler Gateway ADC 13.1-59.19 Antes de NetScaler Gateway ADC 13.1-Fips y NDCPP 13.1-1-37.236-FIPS y NDCPPPPP
Al 30 de junio de 2025, CVE-2025-6543 se ha agregado al catálogo de Vulnerabilidades Explotadas (KEV) conocidas de la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. Otro defecto en el mismo producto (CVE-2025-5777, puntaje CVSS: 9.3) también se enumeró el mes pasado.
NCSC-NL describió la actividad como el trabajo de los actores de amenaza sofisticados, y agregó que la vulnerabilidad ha sido explotada como un día cero desde principios de mayo de 2025. Esto ocurre dos meses antes de que se revele públicamente. La explotación se descubrió el 16 de julio de 2025.
«Durante la investigación, se encontró un shell web malicioso en un dispositivo Citrix», dijo la agencia. «Un shell web es un código deshonesto que permite a un atacante acceder a remotamente al sistema. Un atacante puede implementar un shell web al abusar de la vulnerabilidad».
Para mitigar los riesgos que surgen de CVE-2025-6543, se recomienda a las organizaciones que apliquen las últimas actualizaciones y ejecuten el siguiente comando para terminar las sesiones permanentes y activas-
Matar icaconnection -TOl Kill PCoipConnection -Toda la sesión de matar aaa -TOll Kill RDP Conexión -Todas Clear LB Estastensiones
Las organizaciones ejecutan scripts de shell poniéndose disponibles por NCSC-NL para buscar indicadores de compromiso relacionados con la explotación CVE-2025-6543.
«Los archivos con diferentes extensiones .php en la carpeta del sistema Citrix NetScaler pueden ser un signo de abuso», dijo NCSC-NL. «Consulte las cuentas recién creadas en Netscaler, especialmente aquellas con mayores derechos».
Source link
