Citrix-kwetsbaarheden roepen nare herinneringen op

citrix

Citrix kampt met enkele kritieke kwetsbaarheden in Netscaler ADC en Gateway. Dreigt een tweede ‘Citrix Bleed’-debacle?

Op 17 juni deelde Citrix een update over twee kwetsbaarheden in Netscaler ADC en Gateway, namelijk CVE-2025-5349 en CVE-2025-5777. Met CVSS-scores van 8.7 en 9.3 gaat het om kritieke beveiligingslekken. Citrix is eerder schaars met details, maar het gaat om ‘out-of-bounds’ lekken die het geheugen van de VPN-servers blootstelt voor mensen die daar geen toegang tot mogen zouden hebben.

In ware Murphy-stijl is daar nog een derde kwetsbaarheid bijgekomen, CVE-2025-6543. Ook deze kwetsbaarheid krijgt een hoge CVSS-score (9.2) en mag dus niet te licht worden genomen. Citrix waarschuwt ook dat de kwetsbaarheid actief wordt uitgebuit. Hier gaat het om een memory overflow die getroffen apparaten letterlijk kan lamleggen.

Getroffen versies en patches

Het feit dat Citrix openlijk communiceert over de kwetsbaarheden, betekent dat een patch beschikbaar is. De drie kwetsbaarheden treffen min of meer dezelfde versies van Netscaler ADC en Gateway:

  • Versie 14.1 (ouder dan 14.1-43.56)
  • Versie 13.1 (ouder dan 13.1-58.32)
  • NetScaler ADC 13.1-FIPS (ouder dan 13.1-37.235-FIPS)
  • NetScaler ADC 12.1-FIPS (ouder dan 12.1-55.328-FIPS)

Netscaler ADC 12.1 ontsnapt aan CVE-2025-6543. Klanten worden verzocht om hun Netscaler-apparaten zo snel mogelijk bij te werken naar de versies tussen de haakjes of nieuwer. Voor volledige bescherming CVE-2025-5349 en CVE-2025-5777 is het aangeraden om actieve verbindingen te verbreken met een ‘kill’-commando.

Citrix Bleed 2?

Met een patch en een verwittiging is de kous af voor Citrix. Heb je na het lezen van dit artikel een déjà-vu? Je bent niet de enige. Beveiligingsonderzoeker Kevin Beaumont vreest voor een nieuw ‘Citrix Bleed’-scenario.

In 2023 werd Citrix Netscaler massaal aangevallen door een zeroday-lek. Tienduizenden organisaties kregen tot maanden na het ontdekken van het lek aanvallen te verduren. Een simpele patch bleek overigens niet voldoende om het probleem op te lossen. De schaal van deze kwetsbaarheden is nog niet geweten, maar wie Citrix Bleed twee jaar geleden meemaakte, zou nu moeten weten om snel actie te ondernemen.