- 20,403
- 46
- 8 Ноя 2022
Более 600 уязвимых NetScaler в Рунете.
В устройствах Citrix NetScaler ADC и NetScaler Gateway выявлена критическая уязвимость CVE-2025-7775 с оценкой CVSS 9.2. Ошибка связана с переполнением памяти и при определённых условиях может привести к удалённому выполнению кода (RCE) и/или отказу в обслуживании (DoS).
По данным СайберОК , в российском сегменте интернета насчитывается около 600 потенциально уязвимых экземпляров NetScaler.
Уязвимость проявляется, когда NetScaler используется как Gateway (<span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span> virtual server, ICA Proxy, CVPN, RDP Proxy) или AAA virtual server. Опасность возникает и при эксплуатации LB-виртуальных серверов HTTP, SSL или HTTP_QUIC, связанных с IPv6, включая DBS IPv6, а также в ряде конфигураций CR/HDX. В этих условиях специально сформированный пакет может вызвать переполнение памяти, что открывает путь к выполнению кода или сбою работы устройства.
Подвержены версии NetScaler ADC и NetScaler Gateway, включая ветки 13.1 и 14.1, а также FIPS- и NDcPP-сборки.
Citrix подтвердила факты эксплуатации уязвимости в реальных атаках. CVE-2025-7775 включена в каталог KEV американского агентства CISA, что указывает на активное использование ошибки злоумышленниками.
Среди признаков возможной атаки — необычные запросы к виртуальным серверам Gateway, AAA или HTTP/SSL, внезапные перезагрузки устройств или остановка служб NetScaler, а также появление привилегированных сессий и команд, не связанных с авторизацией.
Для защиты специалисты рекомендуют в первую очередь установить официальные обновления Citrix.
Кроме того, следует изолировать интерфейсы управления: закрыть доступ к административным IP-адресам из интернета и разрешить его только с доверенных сетей через VPN или выделенные сегменты.
Важно отслеживать индикаторы компрометации, включая неизвестные процессы, неожиданные задания cron, изменения конфигурации и появление новых учётных записей.
Эксперты советуют внимательно следить за уведомлениями Citrix, CISA и платформы «СайберОК», поскольку в ближайшее время возможна публикация эксплойтов и новых индикаторов атак.
В устройствах Citrix NetScaler ADC и NetScaler Gateway выявлена критическая уязвимость CVE-2025-7775 с оценкой CVSS 9.2. Ошибка связана с переполнением памяти и при определённых условиях может привести к удалённому выполнению кода (RCE) и/или отказу в обслуживании (DoS).
По данным СайберОК , в российском сегменте интернета насчитывается около 600 потенциально уязвимых экземпляров NetScaler.
Уязвимость проявляется, когда NetScaler используется как Gateway (<span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span> virtual server, ICA Proxy, CVPN, RDP Proxy) или AAA virtual server. Опасность возникает и при эксплуатации LB-виртуальных серверов HTTP, SSL или HTTP_QUIC, связанных с IPv6, включая DBS IPv6, а также в ряде конфигураций CR/HDX. В этих условиях специально сформированный пакет может вызвать переполнение памяти, что открывает путь к выполнению кода или сбою работы устройства.
Подвержены версии NetScaler ADC и NetScaler Gateway, включая ветки 13.1 и 14.1, а также FIPS- и NDcPP-сборки.
Citrix подтвердила факты эксплуатации уязвимости в реальных атаках. CVE-2025-7775 включена в каталог KEV американского агентства CISA, что указывает на активное использование ошибки злоумышленниками.
Среди признаков возможной атаки — необычные запросы к виртуальным серверам Gateway, AAA или HTTP/SSL, внезапные перезагрузки устройств или остановка служб NetScaler, а также появление привилегированных сессий и команд, не связанных с авторизацией.
Для защиты специалисты рекомендуют в первую очередь установить официальные обновления Citrix.
Кроме того, следует изолировать интерфейсы управления: закрыть доступ к административным IP-адресам из интернета и разрешить его только с доверенных сетей через VPN или выделенные сегменты.
Важно отслеживать индикаторы компрометации, включая неизвестные процессы, неожиданные задания cron, изменения конфигурации и появление новых учётных записей.
Эксперты советуют внимательно следить за уведомлениями Citrix, CISA и платформы «СайберОК», поскольку в ближайшее время возможна публикация эксплойтов и новых индикаторов атак.
- Источник новости
- www.securitylab.ru
