Mastodon

Une vulnérabilité critique impactant Citrix NetScaler, identifiée par la référence CVE-2025-5777, vient de voir le jour. Elle obtient un score CVSS v3.1 de 9.3.

Il convient de porter une attention particulière à cette vulnérabilité CVE-2025-5777 car plusieurs preuves de concept sont disponibles publiquement, offrant un fort potentiel d’exploitation par des acteurs malveillants.

Les versions suivantes sont impactées :

  • NetScaler ADC et NetScaler Gateway 14.1 AVANT 14.1-43.56,
  • NetScaler ADC et NetScaler Gateway 13.1 AVANT 13.1-58.32,
  • NetScaler ADC 13.1-FIPS et NDcPP AVANT 13.1-37.235-FIPS et NDcPP,
  • NetScaler ADC 12.1-FIPS AVANT 12.1-55.328-FIPS.

 

Le vecteur initial de la vulnérabilité Citrix

La vulnérabilité CVE-2025-5777 permet à un attaquant non authentifié de récupérer une portion de la mémoire du serveur NetScaler.

 

Les détails techniques de la vulnérabilité Citrix

La vulnérabilité repose sur un manque de vérification d’un paramètre vide lors d’une requête HTTP. L’équipement n’est vulnérable que s’il est configuré en mode Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) ou en serveur virtual AAA.

Une portion de la mémoire est alors retournée par le serveur. L’attaquant peut relancer des requêtes autant de fois qu’il le souhaite et récupérer ainsi de larges sections d’octets.

 

La modélisation de l'attaque avec MITRE ATT&CK

MITRE ATT&CK

  • T1190 : Exploit Public-Facing Application
  • T1005 : Data from local system

 

Les moyens de protections avec Stormshield Network Security face à la vulnérabilité Citrix

Protection face à la CVE-2025-5777

Les firewalls Stormshield Network Security (SNS) vous protègent grâce à une signature de protection dédiée.

  • http:client:data.190: Exploitation d'une divulgation mémoire dans Citrix Netscaler (CVE-2025-5777)

Pour que cette alarme fonctionne efficacement, le trafic doit être déchiffré.

Indice de confiance de la protection proposée par Stormshield

Indice de confiance de l’absence de faux positif

Recommandations face à la vulnérabilité Citrix

Il est ainsi fortement recommandé d’appliquer les dernières mises à jour de sécurité, en mettant à jour Netscaler vers l’une des versions suivantes :

  • NetScaler ADC et NetScaler Gateway 14.1-43.56,
  • NetScaler ADC et NetScaler Gateway 13.1-58.32,
  • NetScaler ADC 13.1-FIPS et 13.1-NDcPP 13.1-37.235,
  • NetScaler ADC 12.1-FIPS 12.1-55.328.

Après la mise à jour, il est recommandé de mettre fin à toutes les sessions ICA et PcoIP via les commandes :

kill icaconnection -all
kill pcoipConnection -all

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Un besoin de précision sur les protections Stormshield ? Les équipes du Support Technique sont à votre disposition pour vous accompagner au mieux. Contactez-les par le biais du gestionnaire d’incidents situé dans l’espace privé MyStormshield. Pour y accéder, sélectionnez le menu « Support technique / Rapporter un incident / Suivre un incident ».
L’équipe de Cyber Threat Intelligence de Stormshield remplit deux missions principales : étudier les menaces cyber pour les comprendre et améliorer en continu les protections des produits de Stormshield. Le tout, dans l’optique de contribuer à l’effort de la communauté de la cybersécurité pour faire face aux menaces cyber.