Beschrijving dreigingsbeeld
Op 17 juni 2025 heeft Citrix een ernstige kwetsbaarheid openbaar gemaakt in NetScaler ADC en Gateway, geregistreerd als CVE-2025-5777. Deze kwetsbaarheid, inmiddels bekend als Citrix Bleed 2, maakt het mogelijk voor aanvallers om via een geheugenlek gevoelige informatie uit kwetsbare NetScaler-instances te halen zonder enige vorm van authenticatie. Hierbij kunnen onder andere sessiegegevens, tokens of andere vertrouwelijke data worden buitgemaakt.
Hoewel Citrix aanvankelijk stelde dat er geen bewijs was voor actief misbruik vóór de bekendmaking, blijkt uit onderzoek van onder andere BleepingComputer dat kwaadwillenden de kwetsbaarheid al enkele weken voorafgaand aan de publicatie actief hebben uitgebuit. Hierbij zijn verschillende aanvalscampagnes geïdentificeerd die misbruik maakten van niet-gepatchte NetScaler-instances.
NetScaler publiceerde op haar eigen blog een uitgebreid overzicht van hoe organisaties kunnen controleren of hun omgeving tekenen van exploitatie vertoont. Zie: NetScaler blog over loganalyse.
Op 10 juli 2025 plaatste CISA CVE-2025-5777 op haar lijst van “Known Exploited Vulnerabilities”, waarmee het officieel werd erkend als een actief misbruikte kwetsbaarheid.
| Impact op: | CVSS-score | |
|
| 9.8 – Kritiek |
De aanval vereist geen authenticatie, is op afstand uitvoerbaar en wordt actief misbruikt in het wild. Gezien het kritieke karakter van de systemen waarop NetScaler vaak draait (zoals externe toegangspoorten naar interne bedrijfsnetwerken), is het risico zeer hoog.
Volgens het NCSC (NCSC-2025-0196) en NIST (CVE-2025-5777) is dit een kritieke kwetsbaarheid met een CVSS-score van 9.8.
Patchinformatie
De kwetsbaarheid is opgelost in de volgende versies:
| Product / Versie | Opgelost in versie |
|---|---|
| NetScaler ADC / Gateway 14.1 | 14.1.43.56 |
| NetScaler ADC / Gateway 13.1 | 13.1.58.32 |
| NetScaler ADC 13.1-FIPS / NDcPP | 13.1.37.235-FIPS |
| NetScaler ADC 12.1-FIPS | 12.1.55.328-FIPS |
| Versies 13.0 en 12.1 (standaard) | Niet meer ondersteund – upgrade vereist |
Voor niet-ondersteunde versies (zoals 13.0 en 12.1) wordt een directe upgrade naar een ondersteunde release sterk aanbevolen.
Tijdlijn
| Datum | Gebeurtenis |
|---|---|
| 17 juni 2025 | Officiële bekendmaking en eerste patches door Citrix |
| 23 juni 2025 | Citrix specificeert dat alleen gateway-, AAA- en ICA-functies kwetsbaar zijn |
| 4 juli 2025 | Technisch rapport over geheugenlek gepubliceerd |
| 8 juli 2025 | Brede meldingen van actief misbruik |
| 10 juli 2025 | CISA voegt CVE-2025-5777 toe aan de KEV-catalogus |
Acuut hulp nodig? Bel dan onze 24/7 CERT-lijn via 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen.
Bronnen:
- NCSC Advisory NCSC-2025-0196
- NVD: CVE-2025-5777
- Citrix NetScaler blog: Loganalyse en detectie
- BleepingComputer: Aanvallen vóór disclosure
- CISA: Known Exploited Vulnerabilities-catalogus
Heeft uw organisatie op dit moment een incident? Onze Computer Emergency Response Teams (CERT) staan 24/7 voor organisaties klaar om te ondersteunen bij IT- Security Incidenten.
Bel dan 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen. Hier vindt u meer informatie over onze Incident Response dienst.
Disclaimer: NFIR heeft er alles aan gedaan om deze informatie accuraat en betrouwbaar te maken. De verstrekte informatie is echter zonder enige garantie van welke aard dan ook en het gebruik ervan is geheel voor risico van de gebruiker. NFIR aanvaardt geen enkele verantwoordelijkheid of aansprakelijkheid voor de juistheid, de inhoud, de volledigheid, de rechtmatigheid of de betrouwbaarheid van de verstrekte informatie.