ISGroup Conseil en Cybersécurité

CVE-2025-7775 – Dépassement de mémoire dans Citrix NetScaler ADC/Gateway (RCE Zero-Day)

CVE-2025-7775 est une vulnérabilité critique de type zero-day de dépassement de mémoire (overflow) affectant Citrix NetScaler ADC et NetScaler Gateway, spécifiquement dans les configurations impliquant le VPN, l’AAA, l’équilibrage de charge IPv6 ou les serveurs virtuels HDX. Elle permet l’exécution de code à distance (RCE) non authentifiée et/ou un déni de service (DoS). La vulnérabilité est déjà activement exploitée et affiche un score CVSS 4.0 de 9,2 (Critique). Citrix déclare qu’il n’existe aucune mesure d’atténuation autre que l’application du correctif.

Les agences fédérales américaines sont tenues d’appliquer le correctif avant le 28 août 2025, suite à l’ajout de la vulnérabilité au catalogue des vulnérabilités exploitées connues (KEV) de la CISA.

ProduitCitrix-NetScaler
Date28-08-2025 09:33:43
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

Type de vulnérabilité : Vulnérabilité de dépassement de mémoire (CWE-119) dans NetScaler ADC et Gateway.
Exploitabilité :

  • Exploitation à distance — aucune authentification ou interaction utilisateur requise.
  • Gravité élevée — des attaques actives ont été observées.
    Configurations limitées concernées : Uniquement les appliances configurées en tant que Gateway, serveur virtuel AAA, serveurs virtuels LB liés à IPv6 (HTTP, SSL, HTTP_QUIC) ou serveurs CR avec HDX.
    Impact :
  • Confidentialité : Compromission potentielle complète du système via RCE.
  • Intégrité & Disponibilité : Interruption de service ou installation de portes dérobées (backdoors). Versions concernées :
  • NetScaler ADC/Gateway 14.1 antérieures à 14.1-47.48
  • 13.1 antérieures à 13.1-59.22
  • 13.1-FIPS/NDcPP antérieures à 13.1-37.241
  • 12.1-FIPS/NDcPP antérieures à 12.1-55.330

Recommandations

  1. Appliquer immédiatement les correctifs
  • Mettre à jour vers les versions corrigées :
    • 14.1-47.48 ou ultérieure
    • 13.1-59.22 ou ultérieure
    • 13.1-37.241 (FIPS/NDcPP) ou ultérieure
    • 12.1-55.330 (FIPS/NDcPP) ou ultérieure

  1. Vérifier les configurations
  • Vérifier le fichier ns.conf pour les rôles tels que Gateway, AAA, serveur virtuel LB IPv6, serveur CR HDX afin d’évaluer l’exposition.
  1. Isoler les appareils vulnérables
  • Si l’application immédiate des correctifs n’est pas possible, limiter l’exposition en isolant les appliances NetScaler concernées de l’Internet.
  1. Surveiller les activités suspectes
  • Examiner les journaux (logs) à la recherche d’indicateurs tels qu’un accès shell non justifié ou des tentatives anormales de RCE.
  • Une activité de réponse aux incidents est recommandée, car l’exploit a déjà été observé.
  1. Adopter une stratégie de défense en profondeur
  • S’assurer que les interfaces de gestion (NSIP, etc.) ne sont pas accessibles depuis Internet.
  • Mettre en œuvre une segmentation du réseau et des mécanismes de contrôle d’accès robustes.
  1. Rester informé des vulnérabilités associées
  • CVE-2025-7776 (autre dépassement de mémoire) et CVE-2025-8424 (contrôle d’accès inapproprié) sont inclus dans le même avis — assurez-vous qu’ils sont couverts par votre processus de mise à jour.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *