O Centro Nacional de Segurança Cibernética da Holanda (NCSC) está alertando que uma vulnerabilidade crítica do Citrix NetScaler rastreada como CVE-2025-6543 foi explorada para violar “organizações críticas” no país.
A falha crítica é um bug de estouro de memória que permite um fluxo de controle não intencional ou um estado de negação de serviço em dispositivos afetados.
“Vulnerabilidade de estouro de memória que leva a um fluxo de controle não intencional e negação de serviço no NetScaler ADC e no NetScaler Gateway quando configurado como Gateway (servidor virtual VPN, ICA Proxy, CVPN, RDP Proxy) OU servidor virtual AAA”, explica Assessoria da Citrix.
A Citrix emitiu um boletim sobre a falha em 25 de junho de 2025, alertando que as seguintes versões eram vulneráveis a ataques em andamento:
- 14.1 antes de 14.1-47.46
- 13.1 antes de 13.1-59.19
- 13,1-FIPS e 13,1-NDcPP antes de 13,1-37,236
- 12.1 e 13.0 → fim da vida útil, mas ainda vulneráveis (sem correções fornecidas, atualização para uma versão mais recente recomendada)
Embora a falha tenha sido inicialmente pensada para ser explorada em ataques de negação de serviço (DoS), o aviso do NCSC agora indica que os invasores a exploraram para obter a execução remota de código.
O aviso do NCSC sobre o CVE-2025-6543 confirma que os hackers aproveitaram a falha para violar várias entidades no país e, em seguida, limparam os vestígios dos ataques para eliminar evidências das invasões.
“O NCSC determinou que várias organizações críticas na Holanda foram atacadas com sucesso por meio de uma vulnerabilidade identificada como CVE-2025-6543 no Citrix NetScaler”, lê o aviso.
“O NCSC avalia os ataques como o trabalho de um ou mais atores com um modus operandi avançado. A vulnerabilidade foi explorada como um dia zero e os rastros foram removidos ativamente para ocultar o comprometimento nas organizações afetadas.”
Exploração de dia zero
De acordo com o NCSC, esses ataques ocorreram desde pelo menos o início de maio, quase dois meses antes de a Citrix publicar seu boletim e disponibilizar patches, então eles foram explorados como zero dias por um longo período.
Embora a agência não tenha nomeado nenhuma das organizações afetadas, o Openbaar Ministerie (OM), que é o Ministério Público da Holanda, divulgou um compromisso em 18 de julho, observando que a descoberta ocorreu após receber um alerta do NCSC.
A organização sofreu severas interrupção operacional Como resultado, Gradualmente retornando online e disparando seu Servidores de e-mail apenas na semana passada.
Para lidar com o risco do CVE-2025-6543, recomenda-se que as organizações atualizem para o NetScaler ADC e o NetScaler Gateway 14.1 versão 14.1-47.46 e posterior, versão 13.1-59.19 e posterior, e ADC 13.1-FIPS e 13.1-NDcPP versão 13.1-37.236 e posterior.
Depois de instalar as atualizações, é crucial encerrar todas as sessões ativas com:
kill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessions
Este mesmo conselho de mitigação foi dado para a falha Citrix Bleed 2 ativamente explorada, rastreada comoCVE-2025-5777. Não está claro se essa falha também foi abusada em ataques ou se é o mesmo processo de atualização para ambas as falhas.
O NCSC aconselha os administradores do sistema a procurar sinais de comprometimento, como uma data de criação de arquivo atípica, nomes de arquivos duplicados com extensões diferentes e ausência de arquivos PHP nas pastas.
A agência de segurança cibernética também lançou um script no GitHub que pode escanear dispositivos em busca de arquivos PHP e XHTML incomuns, bem como outros IOCs.
