CVE-2025-7775
Citrix NetScaler
2025-08-26
Citrix NetScaler ADC and NetScaler Gateway contain a memory overflow vulnerability that could allow for remote code execution and/or denial of service.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2025-7775 представляет собой критическую ошибку переполнения памяти (Memory Overflow) в компонентах Citrix NetScaler ADC и NetScaler Gateway. Данный недостаток позволяет неаутентифицированному злоумышленнику удаленно выполнить произвольный код (RCE) с высокими привилегиями или спровоцировать отказ в обслуживании (DoS), отправив специально сформированный сетевой запрос. Поскольку устройства NetScaler обычно располагаются на периметре сети и смотрят в интернет, успешная эксплуатация этой уязвимости может привести к полной компрометации устройства и предоставлению злоумышленнику точки входа во внутреннюю корпоративную сеть.
Как исправить
Единственным гарантированным способом устранения уязвимости является обновление прошивки устройства до версии, в которой производитель закрыл данную брешь. Перед началом работ обязательно создайте снапшот виртуальной машины (если используется VPX) и сохраните текущую конфигурацию.
Сохраните текущую конфигурацию в память устройства:
save ns config
Создайте полную резервную копию системы:
create system backup -level full
Скачайте актуальную пропатченную версию прошивки с официального портала Citrix и загрузите архив на устройство в директорию /var/tmp/ (например, через SCP).
Перейдите в системную оболочку (shell):
shell
Перейдите в директорию с архивом и распакуйте его (замените имя файла на скачанное):
tar -xvzf /var/tmp/build_XX_XX.tgz -C /var/tmp/
Запустите скрипт установки обновления:
./installns
После успешного завершения работы скрипта перезагрузите устройство для применения изменений:
reboot
Временные меры
Если немедленная установка патча невозможна в связи с бизнес-процессами, необходимо срочно внедрить компенсирующие меры для минимизации поверхности атаки.
Изолируйте интерфейсы управления (NSIP и SNIP с включенным Management Access). Доступ к ним должен осуществляться строго из выделенного VLAN для администраторов.
Создайте правило ACL, разрешающее доступ к управлению только с доверенного IP-адреса:
add ns acl Allow_Admin_Mgmt ALLOW -srcIP 192.168.100.50 -destIP 10.0.0.5
Создайте правило ACL, запрещающее весь остальной доступ к IP-адресу управления:
add ns acl Block_All_Mgmt DENY -destIP 10.0.0.5
Примените созданные списки контроля доступа:
apply ns acls
Если уязвимость эксплуатируется через специфичные HTTP-запросы к Gateway, настройте Responder Policy для сброса (DROP) пакетов, содержащих аномально длинные заголовки или нестандартные полезные нагрузки (согласно актуальным индикаторам компрометации от Citrix).
Убедитесь, что включен и обновлен модуль Citrix Web App Firewall (WAF) с актуальными сигнатурами, блокирующими попытки переполнения буфера.
Настройте строгий мониторинг системных журналов (/var/log/ns.log и /var/log/bash.log) на предмет неожиданных перезапусков процессов (что является частым признаком неудачной попытки эксплуатации и последующего DoS).