Vulnérabilités Critiques Citrix NetScaler ADC et Gateway

Citrix NetScaler ADC (Application Delivery Controller) et NetScaler Gateway sont des composants essentiels pour beaucoup d'organisations. Ils agissent comme des passerelles sécurisées, permettant aux utilisateurs d'accéder à distance et en toute sécurité aux applications, données et ressources internes de l'entreprise. En gros, ce sont des portes d'entrée vitales vers votre système d'information. C'est précisément cette position stratégique qui rend leurs vulnérabilités si dangereuses.

Deux vulnérabilités majeures ont été identifiées et font l'objet d'exploitations actives : CVE-2025-6543 et CVE-2025-5777. Comprendre comment elles fonctionnent est crucial pour mesurer le risque.

Initialement décrite comme une vulnérabilité permettant un déni de service à distance, la CVE-2025-6543 est bien plus insidieuse. Elle est due à un débordement de mémoire provoqué par un attaquant. Concrètement, un cybercriminel peut envoyer une requête spécialement conçue et malformée à votre équipement NetScaler. Si votre NetScaler est configuré comme passerelle (VPN virtuel, proxy ICA, etc.) ou serveur virtuel AAA (authentification, autorisation, audit), il traitera cette requête.

Ce traitement inapproprié va provoquer un "débordement de mémoire". Imaginez un conteneur qui déborde : les données s'écoulent là où elles ne devraient pas. Ce débordement peut entraîner un "flux de contrôle imprévu", signifiant que le programme ne suit plus sa logique normale. Au mieux, cela rendra votre équipement inopérant, causant un déni de service qui empêchera vos employés d'accéder aux ressources nécessaires. Au pire, cette désorientation du flux peut être exploitée pour exécuter du code malveillant à distance, ouvrant la porte à une compromission complète de votre système.

C'est peut-être la vulnérabilité la plus préoccupante actuellement en raison de sa facilité d'exploitation et de ses conséquences directes. La CVE-2025-5777 permet à un attaquant non authentifié (c'est-à-dire sans avoir besoin de mot de passe ou de compte) de "faire fuiter des portions aléatoires de la mémoire" de votre NetScaler ADC et NetScaler Gateway.

Comment cela est-il exploité ? L'attaquant cible le formulaire d'authentification de votre NetScaler. En exploitant un défaut dans la gestion de la mémoire via ce formulaire, il peut forcer le système à révéler des bribes d'informations stockées en mémoire. L'objectif principal est de récupérer les informations de connexion d'une session active, comme des identifiants (noms d'utilisateur, mots de passe s'ils transitent en clair, ce qui ne devrait pas être le cas mais la prudence est de mise), ou surtout des jetons de session. Un jeton de session est comme une clé numérique temporaire qui prouve que vous êtes authentifié. Si un attaquant met la main sur ce jeton, il peut l'utiliser pour détourner votre session et accéder à vos ressources internes sans avoir à s'authentifier lui-même.

Le CERT-FR a confirmé la publication d'une "preuve de concept" (PoC) pour cette vulnérabilité, rendant son exploitation "triviale à utiliser", et a constaté des exploitations actives. Cela signifie que des cybercriminels tentent déjà, et réussissent, à exploiter cette faille. Les conséquences directes sont le vol de sessions utilisateur, l'accès non autorisé aux applications et données de l'entreprise, et potentiellement le contournement des mesures de sécurité.

Les versions de Citrix NetScaler ADC et NetScaler Gateway affectées sont :

• NetScaler ADC versions 13.1-FIPS et NDcPP antérieures à 13.1-37.236-FIPS et NDcPP

• NetScaler ADC versions 13.1.x antérieures à 13.1-59.19

• NetScaler ADC versions 14.1.x antérieures à 14.1-47.46

• NetScaler Gateway versions 13.1.x antérieures à 13.1-59.19

• NetScaler Gateway versions 14.1.x antérieures à 14.1-47.46

De plus, les déploiements de Secure Private Access on-prem et Secure Private Access Hybrid utilisant des instances NetScaler sont également vulnérables. Il est important de noter que les produits NetScaler ADC et NetScaler Gateway en version 12.1 et 13.0 sont en fin de vie. Si vous utilisez ces versions, il est urgent de migrer vers une version supportée et à jour.

Face à la gravité de la situation, l'action rapide est primordiale :

1. Appliquez les correctifs Citrix sans délai : C'est la mesure la plus importante. Référez-vous au bulletin de sécurité Citrix CTX694788 (daté du 25 juin 2025) et aux pages d'assistance Citrix pour obtenir les mises à jour spécifiques à votre version.

2. Arrêtez toutes les sessions ICA et PCoIP actives : Après l'installation du correctif, Citrix recommande de forcer l'arrêt de ces sessions. Le CERT-FR va plus loin en conseillant une inspection prioritaire des sessions récemment renouvelées, surtout celles provenant de multiples adresses IP.

3. Renouvelez les mots de passe des utilisateurs : Si vous avez appliqué le correctif pour la CVE-2025-5777 après la publication de la preuve de concept (le 4 juillet 2025), il est fortement recommandé de forcer le renouvellement de tous les mots de passe des utilisateurs. C'est une mesure de précaution essentielle pour invalider toute information de session potentiellement volée.

Le CERT-FR est catégorique : tout NetScaler exposé qui n'aurait pas reçu les correctifs pour ces deux vulnérabilités doit être considéré comme compromis. Si vous suspectez une intrusion, agissez immédiatement :

1. Isolez totalement la machine concernée : Déconnectez-la du réseau, tant d'Internet que de votre réseau interne. Cela limitera la capacité de l'attaquant à persister ou à se propager.

2. Réalisez des instantanés et récupérez des traces : Si possible, réalisez des instantanés du système de fichiers et de la mémoire vive, et générez les fichiers de support (Core Dump NSPPE) comme décrit par Citrix. Évitez d'éteindre la machine pour conserver les preuves.

3. Révoquez les informations d'identification et d'accès : Changez tous les mots de passe des comptes de service, les secrets partagés, les jetons OAuth, les clés API stockées sur le NetScaler. Modifiez les mots de passe des utilisateurs qui auraient pu s'authentifier via la plateforme compromise. Révoquez et remplacez les certificats et clés privées associées.

4. Examinez les systèmes connectés : Vérifiez tous les serveurs et systèmes auxquels le NetScaler compromis s'est connecté pour détecter d'autres signes d'intrusion.

5. Réinstallez et sécurisez : La meilleure approche est souvent d'effacer et de réinstaller l'équipement NetScaler proprement à partir d'une image saine, puis d'appliquer les dernières versions du micrologiciel et des correctifs. Ne restaurez une sauvegarde de configuration qu'après vous être assuré de sa propreté.

6. Signalez l'incident : Informez le CERT-FR de l'événement et mettez en copie vos éventuels CSIRTs métier.

Les vulnérabilités comme celles de Citrix NetScaler démontrent la nécessité d'une veille de sécurité constante et d'une réactivité exemplaire. Pour les TPE/PME, qui n'ont pas toujours les ressources internes dédiées à la cybersécurité, cela peut s'avérer complexe.

C'est là qu'un partenaire expert comme QG Numérique intervient. Spécialisés dans le dépannage, l'assistance et l'installation informatique et télécom, nous sommes votre allié pour :

• Appliquer les correctifs et mises à jour de manière proactive.

• Réaliser des audits de sécurité pour identifier et corriger les failles avant qu'elles ne soient exploitées.

Retrouver le bulletin complet de l'alerte sur le site du CERT-FR.

Si vous utilisez Citrix NetScaler ou avez des doutes sur la sécurité de votre infrastructure, contactez dès maintenant QG Numérique. Nos experts sont là pour vous aider à auditer, sécuriser et protéger vos systèmes, et à réagir efficacement en cas d'incident. Visitez notre page de services de cybersécurité sur qg-numerique.fr pour en savoir plus ou prendre rendez-vous.