Objet: Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway

Résumé

Le 25 juin 2025, Citrix a publié un avis de sécurité concernant la vulnérabilité CVE-2025-6543 affectant NetScaler ADC et NetScaler Gateway. L'éditeur lui a attribué un score CVSS v4.0 de 9,2 et indique qu'elle permet à un attaquant de provoquer un débordement de mémoire entrainant un flux de contrôle imprévu et un déni de service à distance. L'équipement est vulnérable s'il est configuré en tant que passerelle (Gateway : VPN virtual server, ICA Proxy, CVPN, RDP Proxy) ou en tant que serveur virtuel AAA (AAA virtual server).

Citrix indique que les produits NetScaler ADC et NetScaler Gateway en version 12.1 et 13.0 sont en fin de vie. L'éditeur recommande aux utilisateurs de migrer vers une version supportée et à jour.

Citrix déclare avoir connaissance d'exploitations actives de cette vulnérabilité.

L'obtention des marqueurs de compromission se fait via la page d’assistance de Citrix [1][2]. NetScaler préconise en particulier de rechercher des arrêts inopinés [2].

En cas de suspicion de compromission, l'éditeur recommande [3] :

• si le NetScaler est une instance virtuelle VPX :
  • réaliser un instantané du système de fichier et de la mémoire vive ;
  • documenter l'heure du système, les paramètres du fuseau horaire et la configuration NTP avant l'isolation ;
• si possible, éviter d'éteindre la machine afin de conserver les traces nécessaires aux investigations ;
• générer un fichier de support sur ADC [4] ;
• générer un Core Dump NSPPE sur NetScaler [5];
• si le NetScaler est un équipement MPX ou SDX, récupérer une image du disque ;
• isoler totalement la machine concernée du réseau, vis-à-vis d'Internet comme du réseau interne, afin de limiter les risques de nouvel accès non autorisé et de latéralisation ;
• révoquer des informations d'identification et d'accès :
  • changer les mots de passe et secrets des comptes de service stockés sur le NetScaler tel que les comptes de service LDAP, les secrets partagés RADIUS, les jetons OAuth, les clés API, les noms de communauté SNMP ;
  • modifier les comptes utilisateurs susceptibles d'avoir été authentifiés via la plateforme suspectée d'être compromise, y compris les serveurs virtuels Gateway ou AAA ;
  • révoquer les certificats et les clés privées associées stockées sur la plateforme suspectée d'être compromise ;
• examiner tous les serveurs et systèmes auxquels l'ADC NetScaler s'est connecté pour détecter tout signe de compromission ;
• si le NetScaler est un équipement MPX, se référer au guide pour effacer et réinstaller le MPX [6] ;
• si le NetScaler est un équipement SDX ou une instance virtuelle VPX, se référer au guide pour effacer et réinstaller le SDX ou le VPX [7] ;
• mettre à jour le NetScaler ADC vers la dernière version disponible du micrologiciel (firmware) avant de restaurer la sauvegarde de la configuration ;
• restaurer une sauvegarde saine à l'aide de la console NetScaler, se référer au guide pour obtenir des instructions détaillées [8] ;
• modifier tous les mots de passe des comptes locaux sur le NetScaler ADC ;
• renouveler les clés de chiffrement (Key Encryption Keys) ;
• supprimer tous les certificats SSL restaurés ;
• remplacer tous les certificats SSL restaurés ;
• pour renforcer le NetScaler ADC, se référer au guide pour obtenir les meilleures pratiques de sécurité pour NetScaler MPX, VPX et SDX [9].

En cas de compromission, signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier et consulter les bons réflexes en cas d'intrusion sur votre système d'information [10].

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). L'obtention des correctifs 13.1-FIPS et 13.1-NDcPP s'effectue via la page d’assistance de Citrix [1].