Sélection de la langue

Government of Canada / Gouvernement du Canada

Alerte - Vulnérabilités touchant Citrix NetScaler ADC et NetScaler Gateway - CVE-2025-5349, CVE-2025-5777 et CVE-2025-6543 - Mise à jour 2

Numéro : AL25-008
Date  : 26 juin 2025
Mise à jour : 17 juillet 2025

Auditoire

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 17 juin et le 25 juin 2025, Citrix a publié des bulletins de sécurité au sujet des vulnérabilités critiques CVE-2025-5349, CVE-2025-5777 et CVE-2025-6543 qui touchent les produits suivantsNote de bas de page 1Note de bas de page 2 :

  • NetScaler ADC 12.1-FIPS – versions antérieures à 12.1-55.328-FIPS
  • NetScaler ADC et NetScaler Gateway 14.1 – versions antérieures à 14.1-47.46
  • NetScaler ADC et NetScaler Gateway 13.1 – versions antérieures à 13.1-59.19
  • NetScaler ADC 13.1-FIPS et NDcPP – versions antérieures à 13.1-37.236-FIPS et NDcPP

NetScaler ADC et NetScaler Gateway – les versions 12.1 et 13.0 sont en fin de vie et ne sont plus prises en charge.

Pour CVE-2025-5777 et CVE-2025-6543: NetScaler doit être configuré comme passerelle (serveur virtuel de RPV, ICA Proxy, CVPN, RDP Proxy) ou comme serveur virtuel AAA pour l’exploitation de ces vulnérabilités.

Pour CVE-2025-5349: Un contrôle d'accès incorrect configuré sur l'interface de gestion NetScaler entraînerait un accès au NSIP, à Cluster Management IP et à GSLB Site IP local.

Citrix signale que l’exploitation de CVE-2026-6543 contre des appliances non atténuées a été observée. En réponse à ces vulnérabilités, le Centre pour la cybersécurité a publié le bulletin AV25-350 le 17 juin 2025Note de bas de page 3 et le bulletin AV25-374 le 25 juin 2025Note de bas de page 4.

Le Centre pour la cybersécurité est au courant de l’intérêt et des spéculations en ligne et publie cette alerte par excès de prudence.

Mise à jour 1

Le Centre pour la cybersécurité a observé des activités de balayage réalisées par des auteurs de menace en lien avec la vulnérabilité CVE-2025-5777 et a reçu des signalements selon lesquels cette vulnérabilité est exploitée activement Note de bas de page 6. Les organismes devraient savoir que l’application des correctifs ne retire pas nécessairement l’accès des auteurs de menace aux systèmes qui ont été compromis lorsqu’ils étaient vulnérables. Le Centre pour la cybersécurité recommande aux organismes de mener un exercice de chasse aux menaces informatiques en utilisant les indicateurs de compromission potentiels ci dessous, qu’ils aient appliqué les correctifs liés aux vulnérabilités mentionnées ou non.

Indicateurs de Compromission Potentiels

Les indicateurs de compromission (IC) suivants ont été transmis à la collectivité de recherche en cybersécurité à titre de point de départ pour la détection d’une compromission.

  • Selon les configurations de journalisation, les entrées de journaux affichant des caractères non imprimables sont de bons indicateurs que quelque chose cloche Footnote 7.
  • Dans le bulletin de Citrix, il est recommandé de mettre fin aux sessions ICA et PCoIP existantes, ce qui sous-entend que les terminaux en lien avec ces fonctions sont ciblés. Les entrées pour ces journaux pourraient, de façon similaire, comprendre du contenu de fuites de mémoire, comme des jetons de session Footnote 7.
  • Il est donc fortement recommandé de vérifier les sessions actives. À titre d’exemple, une seule session utilisée depuis plusieurs adresses IP client pourrait indiquer que la session a été compromise Footnote 7.
    • Les sessions actives pour NetScaler Gateway se trouvent dans l’interface utilisateur Web (Web UI) : « NetScaler Gateway -> Active User Sessions -> Select applicable context -> Continue ».
    • Il est également possible d’afficher l’information sur les sessions dans la ligne de commande en exécutant des commandes telles que « show sessions » ou « show <service> session ».
  • Dans les journaux de Netscaler, cherchez :
    • des requêtes POST *doAuthentication* répétées, lesquelles produiront chacune 126 octets de RAM;
    • des requêtes doAuthentication.do avec « Content-Length: 5 »;
    • des lignes avec *LOGOFF* et utilisateur = « *#* » (c.-à-d. symbole # dans le nom d’utilisateur).
  • Repérez le contenu de fuites de mémoire dans les entrées de journaux de terminaux, ce qui pourrait comprendre des jetons de session.
  • Repérez la création de nouveaux comptes d’utilisateur, l’extraction ou la modification de fichiers de configuration et l’installation d’outils autorisant un accès à distance (RAT).

Mesures recommandées

Le Centre pour la cybersécurité recommande fortement aux organismes qui utilisent Citrix NetScaler ADC et les appliances NetScaler Gateway de consulter les bulletins de sécuritéNote de bas de page 1Note de bas de page 2 publiés par Citrix et de mettre à jour ou de mettre à niveau les systèmes touchés et d’utiliser les versions suivantes :

  • NetScaler ADC et NetScaler Gateway 14.1-47.46 et versions ultérieures.
  • NetScaler ADC et NetScaler Gateway 13.1-59.19 et versions ultérieures à 13.1.
  • NetScaler ADC 13.1-FIPS et 13.1-NDcPP 13.1-37.236 et versions ultérieures à 13.1-FIPS et 13.1-NDcPP.

Mise à jour 2

Le Centre pour la cybersécurité recommande :

  • Que les administrateurs examinent les journaux remontant au début de juin 2025.
  • Par mesure de précaution, tous les utilisateurs qui se sont connectés à Citrix Netscaler depuis le début du mois de juin doivent réinitialiser leurs informations d'identification et que toutes les sessions utilisateur actives doivent être invalidées.
  • Un script shell IOC est fourni par les services d’assistance Citrix et peut être exécuté pour aider à déterminer si les organisations sont potentiellement compromises. Veuillez demander le script IOC Shell à la ligne d'assistance Citrix en ouvrant un ticket de gravité 2 via votre portail d'assistance Citrix.
  • Que les administrateurs suivent les prochaines étapes recommandées, telles qu'elles sont soulignées dans l'article de DoublePulsarFootnote 9.

Mise à jour 1

Citrix a fourni les étapes à suivre si l’on soupçonne que NetScaler ADC a été compromis Footnote 8 :

  • Conservez les preuves.
  • Dans la mesure du possible, évitez d’éteindre le système afin de préserver les traces nécessaires pour mener les enquêtes.
  • Isolez complètement le système du réseau, à la fois d’Internet et du réseau interne, afin de limiter les risques d’accès non autorisé et de déplacement latéral.
  • Révoquez les justificatifs d’identité et l’accès.
  • Examinez tous les serveurs et systèmes auxquels NetScaler ADC s’est connecté afin de repérer tout signe de compromission.
  • Procédez à la reconstruction et à la restauration.
  • Faites la rotation des « secrets » restaurés.
  • Renforcez la sécurité du système.

De plus, le Centre pour la cybersécurité recommande fortement aux organisations de mettre en œuvre ses 10 meilleures mesures de sécurité des TINote de bas de page 5.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, on les invite à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.

Références

Date de modification :