MR - stock.adobe.com

Actualites

NetScaler : Citrix corrige une vulnérabilité critique déjà exploitée

Citrix vient de publier un bulletin de sécurité couvrant notamment la vulnérabilité référencée CVE-2025-7775. Permettant l’exécution de code arbitraire à distance sans authentification, elle est déjà activement exploitée.

Valéry Rieß-Marchive
par
Publié le: 26 août 2025

C’est une vulnérabilité qui va en rappeler d’autres. La CVE-2025-7775 permet de forcer l’exécution de code arbitraire à distance, sans authentification, sur les systèmes Citrix NetScaler ADC et Gateway affectés. De qui en assurer la prise de contrôle et de mettre un premier pied dans l’environnement des organisations concernées.

Citrix vient tout juste de publier un bulletin d’alerte au sujet de cette vulnérabilité, notamment. Tout en précisant que son exploitation active a déjà été constatée.

Les systèmes NetScaler ADC 12.1-FIPS et 12.1-NDcPP en versions antérieures à 12.1-55.330, et ADC 13.1-FIPS et 13.1-NDcPP en versions antérieures à 13.1-37.241, sont affectés, de même que les versions antérieures à 13.1-59.22 et à 14.1-47.48 de NetScaler ADC. A cela s’ajoutent les versions antérieures à 13.1-59.22 et antérieures à 14.1-47.48 de Citrix NetScaler Gateway.

Il suffit que l’instance NetScaler soit configurée en passerelle – serveur VPN, proxy ICA, CVPN, proxy RDP, ou serveur AAA – pour qu’elle soit concernée.

Dans son bulletin d’alerte, le CERT-FR souligne que « Citrix rappelle que les versions 12.1 and 13.0 de NetScaler ADC et NetScaler Gateway sont obsolètes et ne recevront plus de mises à jour de sécurité. L'éditeur recommande de migrer vers une version maintenue et à jour ».

Ce type de vulnérabilité compte parmi celles qui nécessitent plus qu’une mise à jour. Citrix rappelle ainsi que « tous les mots de passe et secrets des comptes de service stockés sur NetScaler [doivent être] modifiés sur leurs systèmes respectifs (par exemple, comptes de service LDAP, secrets partagés RADIUS, jetons OAuth, clés API, noms de communauté SNMP) ».

Et qu’en outre, « tous les comptes utilisateur qui ont pu être authentifiés via la plate-forme suspectée d'être compromise, y compris les serveurs virtuels Gateway ou AAA, [doivent être] modifiés sur leurs systèmes respectifs ».

Enfin, « les certificats et les clés privées associées stockés sur la plate-forme suspectée d'être compromise [doivent être] révoqués ».

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)