Kritisk Citrix-sårbarhed udnyttet som 0-dagssårbarhed siden maj

Eskil Sørensen
09.02.2025 12:01
Citrix undlod at fortælle, at sårbarhed var en RCE 0-dag.

I slutningen af juni 2025 offentliggjorde Citrix en patch til EUVD-2025-19085 / CVE-2025-6543, som blev beskrevet som en “memory overflow vulnerability” med risiko for Denial of Service. Hvad Citrix undlod at nævne var, at sårbarheden muliggør fjernkodeeksekvering (RCE) og har været aktivt udnyttet som 0-dagssårbarhed siden maj. Angrebet ramte Netscaler-enheder globalt og har ført til vedvarende kompromittering via webshells, som overlever patching.

Sådan står det at læse i en artikel på bloggen Double Pulsar, som er skrevet af den britiske sikkerhedsekspert Kevin Beaumont - kendt for sin dybdegående analyser og skarpe kommentarer om sårbarheder og trusler. 

Teknisk udnyttelse

Det fremgår af analysen, at angrebet udnytter en svaghed i håndteringen af klientcertifikater. Ved at sende hundredvis af POST-requests til endpointet /cgi/api/login med manipulerede certifikater, kan angriberen overskrive hukommelse og opnå kodeeksekvering. Enheder bliver kompromitteret, og angribere kan aktivt fjerne spor for at undgå opdagelse, hvilket gør efterforskning vanskelig.

Med andre ord: Angrebet udnytter en svaghed i håndteringen af certifikater, som sendes til en bestemt Netscaler-endpoint. Ved at sende mange forespørgsler kan angriberen få adgang til systemet og installere bagdøre.

Sammenhæng med CitrixBleed 2 og potentielt CVE-2025-7775

Den samme trusselsaktør har også udnyttet CVE-2025-5777 (også kendt som CitrixBleed 2) til sessionstyveri og muligvis CVE-2025-7775, som stadig undersøges, fremgår det. Det tyder på en koordineret kampagne mod Netscaler-infrastruktur, hvor flere sårbarheder udnyttes parallelt.

Citrix har altså ikke informeret bredt om, at sårbarheden blev udnyttet som en 0-dagssårbarhed – altså før den blev offentliggjort. Citrix har kun delt et script til at tjekke for kompromittering med enkelte kunder, og det har vist sig at være mangelfuldt. 

Det har skabt frustration i sikkerhedsmiljøet, hvor flere aktører ikke har undladt at dele deres forundring over Citrix' håndtering af sagen. 

NCSC NL: Forbilledlig respons og analyse

Kevin Beaumont giver stor credit til den hollandske cybersikkerhedsmyndighed NCSC NL, der har udgivet en detaljeret rapport om CVE-2025-6543, som indeholder teknisk analyse og anbefalinger. Rapporten dokumenterer, at angrebet har været aktivt siden maj, og at flere kritiske organisationer er blevet kompromitteret. 

NCSC’s arbejde har dermed i praksis udfyldt det informationsvakuum, Citrix efterlod, skriver Beaumont og peger på, at sårbarheden er et eksempel på, hvordan manglende transparens fra leverandører kan forsinke respons og afhjælpning. Modsat kan åbenhed mellem sikkerhedsfolk, videndeling og anvendelse af community-baserede ressourcer som dem fra NCSC NL hjælpe med afgørende proaktive handlinger.

Hvad bør du gøre?

Hvis du administrerer Citrix Netscaler-enheder, særligt med interneteksponering, bør du:

  • Gennemgå logs for POST-requests til /cgi/api/login
  • Se efter fejlkode 1245184, som indikerer ugyldige klientcertifikater
  • Kør kompromisscriptet udleveret af Citrix – men vær opmærksom på, at det er ufuldstændigt
  • Scan for webshells og persistence-mekanismer, også efter patching
  • Segmentér og isolér Netscaler-enheder, og overvej revurdering af deres rolle i netværket

 

Læs mere

Sårbarhed