В Citrix NetScaler обнаружена критическая уязвимость переполнения памяти CVE-2025-7775

СайберОК уязвимость NetScaler Gateway Citrix NetScaler ADC CVE-2025-7775 RCE
В Citrix NetScaler обнаружена критическая уязвимость переполнения памяти CVE-2025-7775
СайберОК уязвимость NetScaler Gateway Citrix NetScaler ADC CVE-2025-7775 RCE

Более 600 уязвимых NetScaler в Рунете.

image

В устройствах Citrix NetScaler ADC и NetScaler Gateway выявлена критическая уязвимость CVE-2025-7775 с оценкой CVSS 9.2. Ошибка связана с переполнением памяти и при определённых условиях может привести к удалённому выполнению кода (RCE) и/или отказу в обслуживании (DoS).

По данным СайберОК , в российском сегменте интернета насчитывается около 600 потенциально уязвимых экземпляров NetScaler.

Уязвимость проявляется, когда NetScaler используется как Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) или AAA virtual server. Опасность возникает и при эксплуатации LB-виртуальных серверов HTTP, SSL или HTTP_QUIC, связанных с IPv6, включая DBS IPv6, а также в ряде конфигураций CR/HDX. В этих условиях специально сформированный пакет может вызвать переполнение памяти, что открывает путь к выполнению кода или сбою работы устройства.

Подвержены версии NetScaler ADC и NetScaler Gateway, включая ветки 13.1 и 14.1, а также FIPS- и NDcPP-сборки.

Citrix подтвердила факты эксплуатации уязвимости в реальных атаках. CVE-2025-7775 включена в каталог KEV американского агентства CISA, что указывает на активное использование ошибки злоумышленниками.

Среди признаков возможной атаки — необычные запросы к виртуальным серверам Gateway, AAA или HTTP/SSL, внезапные перезагрузки устройств или остановка служб NetScaler, а также появление привилегированных сессий и команд, не связанных с авторизацией.

Для защиты специалисты рекомендуют в первую очередь установить официальные обновления Citrix.

Кроме того, следует изолировать интерфейсы управления: закрыть доступ к административным IP-адресам из интернета и разрешить его только с доверенных сетей через VPN или выделенные сегменты.

Важно отслеживать индикаторы компрометации, включая неизвестные процессы, неожиданные задания cron, изменения конфигурации и появление новых учётных записей.

Эксперты советуют внимательно следить за уведомлениями Citrix, CISA и платформы «СайберОК», поскольку в ближайшее время возможна публикация эксплойтов и новых индикаторов атак.