Spoedpatch voor NetScaler: ernstige kwetsbaarheden verholpen
Op 17 juni 2025 heeft Cloud Software Group meerdere kritieke beveiligingsupdates uitgebracht voor NetScaler-producten. Deze updates verhelpen ernstige kwetsbaarheden in onder andere NetScaler Gateway en de NetScaler Console. Eén van de kwetsbaarheden scoort een CVSS van 9.3, wat aangeeft dat misbruik ernstige gevolgen kan hebben zoals datalekken en systeemcompromittering. De patches zijn alleen van toepassing op on-premise installaties. Systeembeheerders worden met klem aangeraden om direct te updaten en actieve sessies te beëindigen.
Release-overzicht
| Component | CVE | CVSS-score | Beschrijving | Aanbevolen versie |
|---|---|---|---|---|
| NetScaler Gateway | CVE-2025-5777 | 9.3 | Geheugenoverread via management-interface bij gebruik als VPN/ICA/RDP-proxy of AAA‑vServer | 14.1-43.56 (of later) |
| NetScaler (alle form-factors) | CVE-2025-5349 | 8.7 | Beïnvloedt alle NetScaler-producten | Zie officiële bulletins |
| NetScaler Console (on-premises) | CVE-2025-4365 | 6.9 | Kwetsbaarheid in NetScaler Console-agent; enkel te benutten met bestaande beheerdersrechten | Zie officiële bulletins |
Deze updates zijn alleen vereist voor on‑premise deployments. Cloud‑klanten via Citrix‑management hoeven geen actie te ondernemen.
Risico’s bij niet-patchen
Als deze kwetsbaarheden niet tijdig gepatcht worden, kunnen de volgende risico’s optreden:
- Remote code execution of informatielekken: Vooral CVE-2025-5777 stelt aanvallers in staat om geheugengegevens te lezen via de management-interface, wat kan leiden tot diefstal van credentials of sessie-informatie.
- Volledige compromittering van NetScaler Gateway: Omdat het component vaak fungeert als toegangspoort tot interne systemen, kan misbruik leiden tot escalatie binnen het netwerk.
- Misbruik van beheerrechten in Console: CVE-2025-4365 vereist bestaande rechten, maar kan leiden tot persistente toegang of manipulatie van configuratie.
- Actieve exploits in het wild zijn waarschijnlijk, gezien het hoge CVSS-niveau en de zichtbaarheid van NetScaler-systemen op het internet.
- Compliance- en auditproblemen: Het niet tijdig doorvoeren van patches kan leiden tot non-compliance met normen als ISO27001, NIS2 of CIS Controls.
Actiepunten
- Update direct naar de aanbevolen gepatchte versies (14.1-43.56, 13.1-58.32, FIPS-equivalent).
- Na installatie: beëindig alle actieve sessies (ICA, PCoIP, RDP) om volledige bescherming te garanderen.
- Vervang of upgrade EOL-versies (12.1, 13.0), deze worden niet meer beveiligd.
Bronnen & verdere documentatie
- Officiële bulletins van Cloud Software Group / Citrix
https://www.netscaler.com/blog/news/critical-security-updates-for-netscaler-netscaler-gateway-and-netscaler-console/ - Technische guidance door BornCity (18 juni 2025)
https://borncity.com/win/2025/06/18/netscaler-critical-security-updates-juni-2025/ - Noodzaak van sessiebeëindiging beschreven in CISA/BornCity
https://www.cisa.gov/news-events/alerts