10 тысяч незакрытых систем в США против дедлайна до 28 августа. CISA объявила ультиматум федеральным агентствам

Citrix NetScaler CVE-2025-7775 CISA Shadowserver уязвимость обновления
10 тысяч незакрытых систем в США против дедлайна до 28 августа. CISA объявила ультиматум федеральным агентствам
Citrix NetScaler CVE-2025-7775 CISA Shadowserver уязвимость обновления

Обновиться или смотреть, как свой VPN работает на чужих.

image

Крупнейшая волна атак на продукты Citrix заставила компании и госструктуры в срочном порядке обновлять инфраструктуру. Специалисты The Shadowserver Foundation обнаружили более 28 000 уязвимых экземпляров NetScaler ADC и NetScaler Gateway, подверженных критической уязвимости CVE-2025-7775. Ошибка позволяет удалённо выполнять произвольный код и уже активно используется злоумышленниками.

Сбой затрагивает версии NetScaler 14.1 до 14.1-47.48, 13.1 до 13.1-59.22, 13.1-FIPS/NDcPP до 13.1-37.241-FIPS/NDcPP и 12.1-FIPS/NDcPP до 12.1-55.330-FIPS/NDcPP. Citrix подчёркивает, что временных защитных мер нет — администраторы должны немедленно обновить прошивку. Уязвимость проявляется, если устройство используется как шлюз VPN или AAA-сервер, как балансировщик нагрузки для IPv6-сервисов или как ресурсный сервер с типом HDX.

Картина уязвимости выглядит масштабно: только в США насчитали более 10 тысяч незакрытых инстансов, в Германии — около 4,3 тысячи, в Великобритании — 1,4 тысячи, в Нидерландах и Швейцарии — по 1,3 тысячи, в Австралии — 880, в Канаде — 820, во Франции — 600. При этом компания не опубликовала индикаторов компрометации, что осложняет поиск следов взлома.

Citrix выпустила обновления, устраняющие CVE-2025-7775, а также два других серьёзных дефекта — CVE-2025-7776, связанный с переполнением памяти и отказом в обслуживании, и CVE-2025-8424, позволяющий обойти контроль доступа в интерфейсе управления. Поддерживаются версии: 14.1-47.48 и выше, 13.1-59.22 и выше, 13.1-FIPS/NDcPP 13.1-37.241 и выше, 12.1-FIPS/NDcPP 12.1-55.330 и выше.

Отдельное внимание обращено на пользователей версий 12.1 и 13.0 (non-FIPS/NDcPP), которые уже сняты с поддержки. Для них исправлений не будет — единственный вариант защиты состоит в переходе на актуальный релиз.

CISA оперативно включила CVE-2025-7775 в каталог KEV и обязала все федеральные агентства устранить её до 28 августа. В противном случае им предписано прекратить использование уязвимых продуктов, что отражает критичность ситуации и высокий риск атак.