Citrix Corrige Falhas Críticas no NetScaler com CVE Explorado

A Citrix liberou correções emergenciais para três vulnerabilidades graves em seus appliances NetScaler ADC e NetScaler Gateway, incluindo a CVE-2025-7775, uma falha de execução remota de código que já está sendo ativamente explorada por atacantes em ataques zero-day. A descoberta representa mais um capítulo preocupante na segurança dos produtos NetScaler, que têm sido alvos frequentes de cibercriminosos ao longo de 2025.

O Que São as Vulnerabilidades Descobertas

Neste artigo do blog Dolutech, abordaremos as três vulnerabilidades críticas identificadas pela Citrix:

CVE-2025-7775 – A Ameaça Principal (CVSS 9.2)

A CVE-2025-7775 é uma vulnerabilidade de overflow de memória que permite execução remota de código (RCE) sem autenticação prévia ou negação de serviço (DoS). Esta falha afeta especificamente appliances NetScaler configurados como:

• Servidores Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy)
• Servidores AAA (Authentication, Authorization, and Auditing)
• Determinadas configurações de load balancing com serviços IPv6
• Servidores virtuais CR com tipo HDX

CVE-2025-7776 – Instabilidade do Sistema (CVSS 8.8)

Esta vulnerabilidade também envolve overflow de memória, causando comportamento imprevisível e negação de serviço. Afeta especificamente NetScalers configurados como Gateway com perfis PCoIP vinculados.

CVE-2025-8424 – Controle de Acesso Inadequado (CVSS 8.7)

Uma falha de controle de acesso na interface de gerenciamento do NetScaler que requer acesso ao NSIP, Cluster Management IP ou GSLB Site IP local com acesso de gerenciamento.

Exploração Ativa Confirmada – Uma Realidade Alarmante

O pesquisador de segurança Kevin Beaumont confirmou que a CVE-2025-7775 está sendo utilizada para implementar webshells, fornecendo backdoors persistentes nas organizações atacadas. Segundo relatórios, os atacantes estão usando essa vulnerabilidade para implantar webshells que fornecem acesso backdoor às organizações alvo.

A Dolutech destaca que esta é a terceira vulnerabilidade zero-day do NetScaler explorada ativamente em 2025, seguindo a CVE-2025-5777 (Citrix Bleed 2) e CVE-2025-6543, demonstrando um padrão preocupante de ataques direcionados a esta infraestrutura crítica.

CISA Adiciona à Lista KEV – Urgência Máxima

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou a CVE-2025-7775 ao seu Catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) em 26 de agosto de 2025, exigindo que as agências do Poder Executivo Federal remediem a falha em 48 horas.

Esta inclusão no catálogo KEV representa um sinal operacional claro de que:

• A atividade de exploração foi observada
• O vetor de ataque visa infraestrutura crítica de borda
• A remediação deve ser tratada como incidente de alta prioridade

Versões Afetadas e Correções Disponíveis

As seguintes versões do NetScaler ADC e NetScaler Gateway são afetadas:

Versões Vulneráveis:

• NetScaler ADC e Gateway 14.1 ANTES da 14.1-47.48
• NetScaler ADC e Gateway 13.1 ANTES da 13.1-59.22
• NetScaler ADC 13.1-FIPS e NDcPP ANTES da 13.1-37.241
• NetScaler ADC 12.1-FIPS e NDcPP ANTES da 12.1-55.330

Versões Corrigidas:

• NetScaler ADC e Gateway 14.1-47.48 e versões posteriores
• NetScaler ADC e Gateway 13.1-59.22 e versões posteriores da 13.1
• NetScaler ADC 13.1-FIPS e 13.1-NDcPP 13.1-37.241 e versões posteriores
• NetScaler ADC 12.1-FIPS e 12.1-NDcPP 12.1-55.330 e versões posteriores

Importante: As versões 12.1 e 13.0 do NetScaler ADC e Gateway agora são End of Life (EOL) e não recebem mais suporte. Nós recomendamos fortemente a migração para versões suportadas.

Medidas de Mitigação e Resposta a Incidentes

Não Existem Workarounds

A Citrix confirmou que não há workarounds ou fatores de mitigação disponíveis para essas vulnerabilidades. A única solução é a aplicação imediata das atualizações de segurança.

Plano de Resposta Emergencial

A Dolutech recomenda as seguintes ações imediatas:

1. Inventário e Mapeamento

• Identifique todos os appliances NetScaler na sua infraestrutura
• Determine quais instâncias estão expostas aos perfis de tráfego vulneráveis
• Priorize appliances com configurações de alto risco

2. Aplicação Imediata de Patches

• Atualize para as versões corrigidas o mais rápido possível
• Verifique a aplicação bem-sucedida em sistemas HA/clustered
• Termine sessões ativas conforme recomendado

3. Caça a Ameaças e Forense

• Execute varreduras em busca de indicadores de comprometimento
• Procure por webshells ou backdoors instalados
• Monitore logs para atividades suspeitas
• Prepare equipes de resposta a incidentes para investigação completa

Exemplo de Verificação Técnica

Para administradores técnicos, aqui está um exemplo de como verificar a configuração vulnerável no NetScaler:

# Verificar configuração Gateway
show vpn vserver
show lb vserver

# Verificar serviços IPv6
show service | grep IPv6
show servicegroup | grep IPv6

# Verificar perfis PCoIP (para CVE-2025-7776)
show vpn parameter

Contexto Histórico – Um Padrão Preocupante

O NetScaler tem sido um alvo frequente em 2025:

• CVE-2019-19781: Amplamente explorada por grupos de ransomware
• CVE-2023-4966 (CitrixBleed): Explorada como zero-day em outubro de 2023
• CVE-2025-5777 (CitrixBleed 2): Explorada como zero-day em junho de 2025
• CVE-2025-6543: Vulnerabilidade similar com descrição quase idêntica

Esta sequência demonstra que os appliances NetScaler se tornaram alvos preferenciais para:

• Grupos patrocinados por estados
• Grupos de ransomware
• Atacantes avançados persistentes (APTs)

Detecção e Monitoramento Contínuo

Logs Essenciais para Monitoramento

• Logs de acesso do NetScaler
• Logs de sistema e eventos de segurança
• Logs de autenticação e autorização
• Monitoramento de tráfego de rede anômalo

Indicadores de Comprometimento

• Arquivos webshell em diretórios web do sistema
• Conexões de rede não autorizadas
• Processos suspeitos em execução
• Modificações não autorizadas em arquivos de configuração

Impacto nas Organizações

Aproximadamente 14.300 instâncias do Citrix NetScaler estavam expostas à internet pública no momento da divulgação, representando uma superfície de ataque significativa para organizações globalmente.

As consequências de uma exploração bem-sucedida incluem:

• Comprometimento total do appliance
• Acesso persistente via backdoors
• Roubo de credenciais e tokens de sessão
• Movimentação lateral na rede interna
• Potencial para ataques de ransomware

Recomendações da Dolutech para Proteção Avançada

Estratégias de Hardening

1. Segmentação de Rede: Isole appliances NetScaler em VLANs dedicadas
2. Monitoramento Proativo: Implemente SIEM com alertas para atividades anômalas
3. Backup e Recuperação: Mantenha backups de configurações atualizados
4. Gestão de Patches: Estabeleça processos de aplicação de patches emergenciais

Governança de Segurança

• Estabeleça SLAs para aplicação de patches críticos (máximo 48 horas)
• Implemente testes de penetração regulares em appliances
• Mantenha inventário atualizado de todos os sistemas expostos
• Desenvolva playbooks específicos para resposta a incidentes NetScaler

Conclusão

As vulnerabilidades CVE-2025-7775, CVE-2025-7776 e CVE-2025-8424 representam uma ameaça crítica e imediata para organizações que utilizam appliances Citrix NetScaler. Com exploração ativa confirmada e inclusão no catálogo KEV da CISA, a aplicação imediata de patches não é apenas recomendada – é essencial.

Nós, da Dolutech, enfatizamos que a ausência de workarounds torna a atualização a única opção viável de proteção. Organizações devem tratar esta situação como um incidente de segurança de alta prioridade, aplicando patches imediatamente e conduzindo investigações forenses para identificar possíveis comprometimentos.

A frequência crescente de vulnerabilidades zero-day no NetScaler também destaca a necessidade de uma abordagem mais proativa na segurança desses appliances críticos, incluindo monitoramento contínuo, segmentação adequada e planos de resposta a incidentes bem definidos.