A Citrix liberou correções emergenciais para três vulnerabilidades graves em seus appliances NetScaler ADC e NetScaler Gateway, incluindo a CVE-2025-7775, uma falha de execução remota de código que já está sendo ativamente explorada por atacantes em ataques zero-day. A descoberta representa mais um capítulo preocupante na segurança dos produtos NetScaler, que têm sido alvos frequentes de cibercriminosos ao longo de 2025.
O Que São as Vulnerabilidades Descobertas
Neste artigo do blog Dolutech, abordaremos as três vulnerabilidades críticas identificadas pela Citrix:
CVE-2025-7775 – A Ameaça Principal (CVSS 9.2)
A CVE-2025-7775 é uma vulnerabilidade de overflow de memória que permite execução remota de código (RCE) sem autenticação prévia ou negação de serviço (DoS). Esta falha afeta especificamente appliances NetScaler configurados como:
- Servidores Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy)
- Servidores AAA (Authentication, Authorization, and Auditing)
- Determinadas configurações de load balancing com serviços IPv6
- Servidores virtuais CR com tipo HDX
CVE-2025-7776 – Instabilidade do Sistema (CVSS 8.8)
Esta vulnerabilidade também envolve overflow de memória, causando comportamento imprevisível e negação de serviço. Afeta especificamente NetScalers configurados como Gateway com perfis PCoIP vinculados.
CVE-2025-8424 – Controle de Acesso Inadequado (CVSS 8.7)
Uma falha de controle de acesso na interface de gerenciamento do NetScaler que requer acesso ao NSIP, Cluster Management IP ou GSLB Site IP local com acesso de gerenciamento.
Exploração Ativa Confirmada – Uma Realidade Alarmante
O pesquisador de segurança Kevin Beaumont confirmou que a CVE-2025-7775 está sendo utilizada para implementar webshells, fornecendo backdoors persistentes nas organizações atacadas. Segundo relatórios, os atacantes estão usando essa vulnerabilidade para implantar webshells que fornecem acesso backdoor às organizações alvo.
A Dolutech destaca que esta é a terceira vulnerabilidade zero-day do NetScaler explorada ativamente em 2025, seguindo a CVE-2025-5777 (Citrix Bleed 2) e CVE-2025-6543, demonstrando um padrão preocupante de ataques direcionados a esta infraestrutura crítica.
CISA Adiciona à Lista KEV – Urgência Máxima
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou a CVE-2025-7775 ao seu Catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) em 26 de agosto de 2025, exigindo que as agências do Poder Executivo Federal remediem a falha em 48 horas.
Esta inclusão no catálogo KEV representa um sinal operacional claro de que:
- A atividade de exploração foi observada
- O vetor de ataque visa infraestrutura crítica de borda
- A remediação deve ser tratada como incidente de alta prioridade
Versões Afetadas e Correções Disponíveis
As seguintes versões do NetScaler ADC e NetScaler Gateway são afetadas:
Versões Vulneráveis:
- NetScaler ADC e Gateway 14.1 ANTES da 14.1-47.48
- NetScaler ADC e Gateway 13.1 ANTES da 13.1-59.22
- NetScaler ADC 13.1-FIPS e NDcPP ANTES da 13.1-37.241
- NetScaler ADC 12.1-FIPS e NDcPP ANTES da 12.1-55.330
Versões Corrigidas:
- NetScaler ADC e Gateway 14.1-47.48 e versões posteriores
- NetScaler ADC e Gateway 13.1-59.22 e versões posteriores da 13.1
- NetScaler ADC 13.1-FIPS e 13.1-NDcPP 13.1-37.241 e versões posteriores
- NetScaler ADC 12.1-FIPS e 12.1-NDcPP 12.1-55.330 e versões posteriores
Importante: As versões 12.1 e 13.0 do NetScaler ADC e Gateway agora são End of Life (EOL) e não recebem mais suporte. Nós recomendamos fortemente a migração para versões suportadas.
Medidas de Mitigação e Resposta a Incidentes
Não Existem Workarounds
A Citrix confirmou que não há workarounds ou fatores de mitigação disponíveis para essas vulnerabilidades. A única solução é a aplicação imediata das atualizações de segurança.
Plano de Resposta Emergencial
A Dolutech recomenda as seguintes ações imediatas:
1. Inventário e Mapeamento
- Identifique todos os appliances NetScaler na sua infraestrutura
- Determine quais instâncias estão expostas aos perfis de tráfego vulneráveis
- Priorize appliances com configurações de alto risco
2. Aplicação Imediata de Patches
- Atualize para as versões corrigidas o mais rápido possível
- Verifique a aplicação bem-sucedida em sistemas HA/clustered
- Termine sessões ativas conforme recomendado
3. Caça a Ameaças e Forense
- Execute varreduras em busca de indicadores de comprometimento
- Procure por webshells ou backdoors instalados
- Monitore logs para atividades suspeitas
- Prepare equipes de resposta a incidentes para investigação completa
Exemplo de Verificação Técnica
Para administradores técnicos, aqui está um exemplo de como verificar a configuração vulnerável no NetScaler:
# Verificar configuração Gateway
show vpn vserver
show lb vserver
# Verificar serviços IPv6
show service | grep IPv6
show servicegroup | grep IPv6
# Verificar perfis PCoIP (para CVE-2025-7776)
show vpn parameterContexto Histórico – Um Padrão Preocupante
O NetScaler tem sido um alvo frequente em 2025:
- CVE-2019-19781: Amplamente explorada por grupos de ransomware
- CVE-2023-4966 (CitrixBleed): Explorada como zero-day em outubro de 2023
- CVE-2025-5777 (CitrixBleed 2): Explorada como zero-day em junho de 2025
- CVE-2025-6543: Vulnerabilidade similar com descrição quase idêntica
Esta sequência demonstra que os appliances NetScaler se tornaram alvos preferenciais para:
- Grupos patrocinados por estados
- Grupos de ransomware
- Atacantes avançados persistentes (APTs)
Detecção e Monitoramento Contínuo
Logs Essenciais para Monitoramento
- Logs de acesso do NetScaler
- Logs de sistema e eventos de segurança
- Logs de autenticação e autorização
- Monitoramento de tráfego de rede anômalo
Indicadores de Comprometimento
- Arquivos webshell em diretórios web do sistema
- Conexões de rede não autorizadas
- Processos suspeitos em execução
- Modificações não autorizadas em arquivos de configuração
Impacto nas Organizações
Aproximadamente 14.300 instâncias do Citrix NetScaler estavam expostas à internet pública no momento da divulgação, representando uma superfície de ataque significativa para organizações globalmente.
As consequências de uma exploração bem-sucedida incluem:
- Comprometimento total do appliance
- Acesso persistente via backdoors
- Roubo de credenciais e tokens de sessão
- Movimentação lateral na rede interna
- Potencial para ataques de ransomware
Recomendações da Dolutech para Proteção Avançada
Estratégias de Hardening
- Segmentação de Rede: Isole appliances NetScaler em VLANs dedicadas
- Monitoramento Proativo: Implemente SIEM com alertas para atividades anômalas
- Backup e Recuperação: Mantenha backups de configurações atualizados
- Gestão de Patches: Estabeleça processos de aplicação de patches emergenciais
Governança de Segurança
- Estabeleça SLAs para aplicação de patches críticos (máximo 48 horas)
- Implemente testes de penetração regulares em appliances
- Mantenha inventário atualizado de todos os sistemas expostos
- Desenvolva playbooks específicos para resposta a incidentes NetScaler
Conclusão
As vulnerabilidades CVE-2025-7775, CVE-2025-7776 e CVE-2025-8424 representam uma ameaça crítica e imediata para organizações que utilizam appliances Citrix NetScaler. Com exploração ativa confirmada e inclusão no catálogo KEV da CISA, a aplicação imediata de patches não é apenas recomendada – é essencial.
Nós, da Dolutech, enfatizamos que a ausência de workarounds torna a atualização a única opção viável de proteção. Organizações devem tratar esta situação como um incidente de segurança de alta prioridade, aplicando patches imediatamente e conduzindo investigações forenses para identificar possíveis comprometimentos.
A frequência crescente de vulnerabilidades zero-day no NetScaler também destaca a necessidade de uma abordagem mais proativa na segurança desses appliances críticos, incluindo monitoramento contínuo, segmentação adequada e planos de resposta a incidentes bem definidos.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
