-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.01 #############################
Titel : Kwetsbaarheden verholpen in Citrix NetScaler ADC en NetScaler Gateway
Advisory ID : NCSC-2025-0196
Versie : 1.01
Kans : high
CVE ID : CVE-2025-5349, CVE-2025-5777
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Out-of-bounds Read
Improper Access Control
Improper Validation of Specified Quantity in Input
Uitgiftedatum : 20250618
Toepassing : Citrix Citrix NetScaler ADC, NetScaler Gateway
Citrix Netscaler ADC, NetScaler Gateway
Versie(s) :
Platform(s) :
Update
Het NCSC acht het waarschijnlijk dat deze kwetsbaarheden op korte
termijn zullen worden misbruikt. De inschaling is daarom aangepast
naar H/H. Het NCSC adviseert organisaties met klem om de door Citrix
beschikbaar gestelde beveiligingsupdates op korte termijn te
installeren.
Beschrijving
Citrix heeft kwetsbaarheden verholpen in NetScaler ADC en NetScaler
Gateway.
De kwetsbaarheden bevinden zich in de NetScaler Management Interface
van zowel NetScaler ADC als NetScaler Gateway.
De kwetsbaarheid met kenmerk CVE-2025-5777 betreft een Out-of-Bounds
Read. Deze kwetsbaarheid ontstaat door onvoldoende invoervalidatie in
systemen die zijn geconfigureerd als Gateway-diensten. Dit betreft
onder andere VPN-virtual servers, ICA Proxy, Citrix Virtual Private
Network (CVPN), Remote Desktop Protocol (RDP) Proxy en AAA-servers.
De tweede kwetsbaarheid met kenmerk CVE-2025-5349, betreft een
probleem met onjuiste toegangscontrole binnen de NetScaler Management
Interface. Kwaadwillenden kunnen de kwetsbaarheid misbruiken voor het
verkrijgen van ongeautoriseerde toegang tot bepaalde onderdelen van
het systeem. Hiervoor heeft de kwaadwillende toegang nodig tot
specifieke netwerkinterfaces, zoals het Network Services IP (NSIP),
het Cluster Management IP of het lokale Global Server Load Balancing
(GSLB) Site IP.
Mogelijke oplossingen
Citrix heeft updates uitgebracht om deze kwetsbaarheden te verhelpen.
Citrix raadt aan om alle actieve ICA- en PCoIP-sessies te beëindigen
nadat de beveiligingsupdates zijn geïnstalleerd. Raadpleeg het
beveiligingsadvies van Citrix voor aanvullende informatie.
Updates beschikbaar voor de volgende NetScaler-versies:
- NetScaler ADC en NetScaler Gateway vanaf versie 14.1-43.56
- NetScaler ADC en NetScaler Gateway 13.1 vanaf versie 13.1-58.32
- NetScaler ADC 13.1-FIPS en 13.1-NDcPP vanaf versie 13.1-37.235
- NetScaler ADC 12.1-FIPS vanaf versie 12.1-55.328
Het NCSC adviseert organisaties met klem om de door Citrix
beschikbaar gestelde beveiligingsupdates op korte termijn te
installeren.
Referenties:
Reference - certbundde; cveprojectv5; nvd
https://support.citrix.com/support-
home/kbsearch/article?articleNumber=CTX693420
Reference - certbundde; cveprojectv5; nvd
https://support.citrix.com/support-
home/kbsearch/article?articleNumber=CTX694729
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=4gCS
-----END PGP SIGNATURE-----
