Meer dan 21.000 Citrix-systemen kwetsbaar voor actieve aanvallen

In dit artikel:

Een kritieke fout in Citrix NetScaler (CVE-2025-7775) treft wereldwijd minstens 21.534 systemen en wordt al actief misbruikt, waardoor onmiddellijke actie nodig is. Scans van The Shadowserver Foundation tonen dat 9.052 van die vatbare instanties in Europa staan; de meeste bevinden zich in de VS (7.626), Duitsland (3.196) en het Verenigd Koninkrijk (1.186). Nederland telt 475 kwetsbare systemen, Zwitserland 822.

CISA heeft het lek opgenomen in zijn Known Exploited Vulnerabilities-lijst en gaf Amerikaanse federale organisaties de tijd tot 28 augustus om te patchen of getroffen appliances uit dienst te nemen. Ook het Nederlandse NCSC waarschuwt voor het probleem. Omdat Citrix geen indicators of compromise (IoC’s) heeft vrijgegeven, is het detecteren van geslaagde aanvallen bemoeilijkt.

De kwetsbaarheid betreft remote code execution in NetScaler ADC en NetScaler Gateway en speelt wanneer apparaten als Gateway/AAA virtual server voor VPN, ICA Proxy, CVPN of RDP Proxy zijn geconfigureerd. Ook bepaalde load‑balancerconfiguraties met IPv6 kunnen getroffen zijn. De kwetsbare releases zijn onder meer 14.1 vóór 14.1-47.48, 13.1 vóór 13.1-59.22 (inclusief FIPS/NDcPP-varianten) en 12.1-FIPS/NDcPP vóór 12.1-55.330.

Citrix heeft patches uitgebracht (14.1-47.48, 13.1-59.22, 13.1-37.241 voor FIPS/NDcPP en 12.1-55.330 voor 12.1-FIPS/NDcPP) en geeft geen tijdelijke mitigaties; beheerders worden dringend geadviseerd direct te upgraden. Daarnaast zijn twee andere high-severity fouten verholpen (CVE-2025-7776 en CVE-2025-8424). Organisaties die nog op End‑of‑Life-versies (zoals 12.1 en 13.0 non‑FIPS/NDcPP) draaien, moeten naar ondersteunde releases migreren. Omdat NetScaler-apparaten vaak de rand van bedrijfsnetwerken vormen en toegang/authenticatie regelen, vergroot deze kwetsbaarheid het risico op brede, directe toegang tot interne systemen. Scans van internetzichtbare NetScaler-instanties en snelle patching of isolatie zijn daarom dringend aanbevolen.