O Centro Nacional de Cibersegurança da Holanda (NCSC-NL) alertou sobre ciberataques que estão explorando uma vulnerabilidade crítica de segurança recentemente divulgada, afetando produtos Citrix NetScaler ADC, para invadir organizações no país.
O NCSC-NL disse que descobriu a exploração do
CVE-2025-6543
visando várias organizações críticas dentro da Holanda, e que as investigações estão em andamento para determinar o alcance do impacto.
CVE-2025-6543
(pontuação CVSS: 9.2) é uma vulnerabilidade crítica de segurança no NetScaler ADC que resulta em fluxo de controle não intencionado e negação de serviço (DoS) quando os dispositivos são configurados como um Gateway (servidor virtual VPN, ICA Proxy, CVPN, RDP Proxy) OU servidor virtual AAA.
A vulnerabilidade foi divulgada pela primeira vez no final de junho de 2025, com patches lançados nas seguintes versões:
NetScaler ADC e NetScaler Gateway 14.1 antes de 14.1-47.46
NetScaler ADC e NetScaler Gateway 13.1 antes de 13.1-59.19
NetScaler ADC 13.1-FIPS e NDcPP antes de 13.1-37.236-FIPS e NDcPP
Em 30 de junho de 2025, o
CVE-2025-6543
foi adicionado ao catálogo Known Exploited Vulnerabilities (KEV) da Agência de Cibersegurança e Infraestrutura de Segurança dos EUA (CISA).
Outra falha no mesmo produto (
CVE-2025-5777
, pontuação CVSS: 9.3) também foi colocada na lista no mês passado.
O NCSC-NL descreveu a atividade como provavelmente a obra de um ator de ameaça sofisticado, acrescentando que a vulnerabilidade foi explorada como um zero-day desde o início de maio de 2025 - quase dois meses antes de ser divulgada publicamente - e os atacantes tomaram medidas para apagar rastros em um esforço para ocultar o comprometimento.
A exploração foi descoberta em 16 de julho de 2025.
"Durante a investigação, web shells maliciosos foram encontrados em dispositivos Citrix", disse a agência.
"Um web shell é um pedaço de código malicioso que dá ao atacante acesso remoto ao sistema.
O atacante pode colocar um web shell abusando de uma vulnerabilidade." Para mitigar o risco decorrente do
CVE-2025-6543
, as organizações são aconselhadas a aplicar as últimas atualizações e terminar sessões permanentes e ativas executando os seguintes comandos:
kill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessions
As organizações também podem executar um script shell disponibilizado pelo NCSC-NL para procurar indicadores de comprometimento associados à exploração do
CVE-2025-6543
.
"Arquivos com uma extensão .php diferente nas pastas do sistema Citrix NetScaler podem ser uma indicação de abuso", disse o NCSC-NL.
Verifique se há contas recém-criadas no NetScaler, e especificamente por contas com direitos aumentados.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...