CVE-2025-6543

Citrix NetScaler ADC and Gateway

ВЕРОЯТНОСТЬ 2.0%
Дата обнаружения

2025-06-30

Официальное описание

Citrix NetScaler ADC and Gateway contain a buffer overflow vulnerability leading to unintended control flow and Denial of Service. NetScaler must be configured as Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) OR AAA virtual server.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-6543 представляет собой критическую уязвимость типа переполнения буфера (Buffer Overflow) в компонентах Citrix NetScaler ADC и Gateway. Проблема возникает при обработке специфических сетевых пакетов, что позволяет злоумышленнику нарушить логику управления потоком выполнения (Control Flow) или вызвать отказ в обслуживании (DoS).

Уязвимость актуальна только в том случае, если устройство настроено в одной из следующих ролей: * Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy). * AAA virtual server (Authentication, Authorization, and Auditing).

Эксплуатация может привести к аварийному завершению процесса nspappe (Packet Processing Engine) или потенциальному выполнению произвольного кода.

Как исправить

Основным методом устранения является обновление прошивки NetScaler до версий, в которых данная ошибка исправлена.

  1. Определите текущую версию прошивки:
show version
  1. Загрузите соответствующий билд с официального портала Citrix (Cloud Software Group) и выполните обновление. Исправления включены в следующие (и более свежие) версии:
  2. NetScaler ADC и NetScaler Gateway 14.1-30.57 и выше.
  3. NetScaler ADC и NetScaler Gateway 13.1-53.24 и выше.

  4. NetScaler ADC и NetScaler Gateway 13.0-92.31 и выше.

  5. Процесс установки обновления через CLI:

install ns rel_14.1_30.57.tgz
  1. После установки обновления необходимо перезагрузить устройство:
reboot

Временные меры

Если немедленное обновление невозможно, рекомендуется применить следующие меры для снижения риска:

  1. Ограничение доступа на сетевом уровне: Настройте ACL (Access Control Lists) на внешних межсетевых экранах, чтобы разрешить доступ к виртуальным серверам Gateway и AAA только с доверенных IP-адресов или сегментов сети.

  2. Использование Responder Policy для блокировки аномальных запросов: Если выявлены специфические паттерны эксплуатации, создайте политику Responder для сброса подозрительных соединений. Пример создания политики (требует адаптации под конкретный вектор атаки):

add responder policy block_malicious_traffic "HTTP.REQ.URL.CONTAINS(\"suspicious_pattern\")" DROP
  1. Мониторинг состояния процессов: Настройте SNMP-трапы или внешнее логирование (Syslog) для отслеживания перезапусков процесса nspappe, что может свидетельствовать о попытках эксплуатации:
set audit syslogParams -logLevel ALL
  1. Отключение неиспользуемых сервисов: Если функции Gateway или AAA не являются критически важными в данный момент, временно отключите соответствующие виртуальные серверы:
disable lb vserver <vserver_name>
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей