O National Cyber Security Center (NCSC) na Holanda emitiu uma atualização urgente sobre uma série de ataques cibernéticos sofisticados que exploram uma vulnerabilidade de dia zero nos sistemas Citrix NetScaler, identificada como CVE-2025-6543.
Essa falha, que afeta os produtos Citrix NetScaler Application Delivery Controller (ADC) e Gateway, permitiu que os agentes de ameaças comprometessem várias organizações críticas desde pelo menos o início de maio de 2025.
De acordo com a investigação em andamento do NCSC, os invasores empregaram técnicas avançadas, incluindo o apagamento ativo de vestígios para obscurecer suas atividades, tornando a análise forense particularmente desafiadora.
Segmente a infraestrutura holandesa crítica
A vulnerabilidade foi divulgada publicamente e corrigida pela Citrix em 25 de junho de 2025, mas a exploração é anterior a isso, classificando-a como um dia zero.
Apesar do patch, o NCSC enfatiza que a atualização dos sistemas por si só é insuficiente para mitigar os riscos, pois os invasores podem reter o acesso persistente por meio de mecanismos como web shells maliciosos, que fornecem controle remoto sobre dispositivos comprometidos.
O Citrix NetScaler serve como um dispositivo de rede crítico para balanceamento de carga, acesso remoto seguro e entrega de aplicativos, muitas vezes facilitando o trabalho remoto, permitindo que os funcionários se conectem a intranets corporativas e ambientes de nuvem.
A vulnerabilidade explorada, CVE-2025-6543, permite que Execução remota de código, potencialmente levando à implantação de shells da Web que concedem aos invasores acesso persistente ao backdoor.
A pesquisa do NCSC descobriu evidências desses web shells nos sistemas afetados, com os invasores limpando deliberadamente logs e outros indicadores para evitar a detecção.
Isso resultou em uma incerteza significativa em relação a todo o escopo dos comprometimentos, incluindo quais organizações permanecem infiltradas e a extensão da exfiltração de dados ou movimento lateral adicional dentro das redes.
Além do CVE-2025-6543, as vulnerabilidades relacionadas CVE-2025-5349 e CVE-2025-5777 foram identificadas em implantações vulneráveis da Citrix na Holanda e internacionalmente, embora nem todos os sistemas expostos tenham sido confirmados como explorados.
O NCSC entrou em contato proativamente com as partes potencialmente afetadas e pede a todas as organizações que usam produtos Citrix que conduzam investigações internas completas, mesmo que os patches tenham sido aplicados.
Investigações em andamento
A linha do tempo dos eventos ressalta a natureza prolongada desta campanha: as explorações iniciais remontam a maio de 2025, com detecções aumentando em junho e julho, e monitoramento contínuo em agosto.
De acordo com o relatório, Os esforços colaborativos do NCSC com equipes de resposta a incidentes, organizações afetadas e parceiros de segurança produziram novos indicadores de comprometimento (IOCs), que estão sendo compartilhados para ajudar na identificação de infecções.
No entanto, a agência adverte que as táticas de apagamento de rastros do invasor significam que alguns aspectos do incidente, como a lista completa de vítimas, a atividade contínua do ator e o impacto total, podem nunca ser totalmente resolvidos.
Essa incerteza destaca os desafios na atribuição dos ataques, embora os métodos sugiram o envolvimento de um ou mais agentes de ameaças altamente capazes, possivelmente ameaças persistentes avançadas (APTs) patrocinadas pelo Estado com foco em espionagem ou interrupção.
Para reforçar as defesas, o NCSC recomenda fortemente a adoção de uma estratégia de defesa em profundidade, incorporando controles de segurança em camadas, como segmentação de rede, autenticação multifator, monitoramento contínuo de comportamento anômalo e auditorias forenses regulares.
As organizações que descobrem IOCs relacionadas a esta campanha devem realizar avaliações detalhadas de comprometimento e entrar em contato com a equipe CERT do NCSC para obter assistência.
Esse incidente serve como um lembrete gritante do cenário de ameaças em evolução, onde explorações de dia zero em infraestrutura amplamente usada, como o Citrix NetScaler, podem levar a violações generalizadas.
Ao priorizar as medidas de resiliência, as organizações podem resistir melhor não apenas a essa ameaça específica, mas também a vulnerabilidades futuras em sistemas semelhantes de acesso remoto e entrega de aplicativos.
O NCSC continua suas investigações, enfatizando o compartilhamento de informações para melhorar a postura coletiva de segurança cibernética em meio a esses riscos persistentes.
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIneXpara obter atualizações instantâneas!