NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.02 #############################

Titel           : Kwetsbaarheden verholpen in Citrix NetScaler ADC en NetScaler Gateway
Advisory ID     : NCSC-2025-0196
Versie          : 1.02
Kans            : high
CVE ID          : CVE-2025-5349, CVE-2025-5777
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Out-of-bounds Read
                  Improper Access Control
                  Improper Validation of Specified Quantity in Input
Uitgiftedatum   : 20250624
Toepassing      : Citrix Citrix NetScaler ADC, NetScaler Gateway
                  Citrix Netscaler ADC, NetScaler Gateway
Versie(s)       :
Platform(s)     :

Update
   De kwetsbaarheid met kenmerk CVE-2025-5777 is, in tegenstelling tot
   eerdere informatie, op afstand te misbruiken. De inschaling blijft
   onverkort HIGH/HIGH.

Beschrijving
   Citrix heeft kwetsbaarheden verholpen in NetScaler ADC en NetScaler
   Gateway.

   De kwetsbaarheid met kenmerk CVE-2025-5777 betreft een Out-of-Bounds
   Read. Deze kwetsbaarheid ontstaat door onvoldoende invoervalidatie in
   systemen die zijn geconfigureerd als Gateway-diensten. Dit betreft
   onder andere VPN-virtual servers, ICA Proxy, Citrix Virtual Private
   Network (CVPN), Remote Desktop Protocol (RDP) Proxy en AAA-servers.
   In tegenstelling tot eerdere informatie van Citrix bevindt deze
   kwetsbaarheid zich **niet** in de management-interface. Deze
   kwetsbaarheid is daarmee op afstand te misbruiken door een
   kwaadwillende zonder voorafgaande authenticatie.
   De tweede kwetsbaarheid met kenmerk CVE-2025-5349, betreft een
   probleem met onjuiste toegangscontrole binnen de NetScaler Management
   Interface. Kwaadwillenden kunnen de kwetsbaarheid misbruiken voor het
   verkrijgen van ongeautoriseerde toegang tot bepaalde onderdelen van
   het systeem. Hiervoor heeft de kwaadwillende toegang nodig tot
   specifieke netwerkinterfaces, zoals het Network Services IP (NSIP),
   het Cluster Management IP of het lokale Global Server Load Balancing
   (GSLB) Site IP.

Mogelijke oplossingen
   Citrix heeft updates uitgebracht om deze kwetsbaarheden te verhelpen.
   Citrix raadt aan om alle actieve ICA- en PCoIP-sessies te beëindigen
   nadat de beveiligingsupdates zijn geïnstalleerd. Raadpleeg het
   beveiligingsadvies van Citrix voor aanvullende informatie.
   Updates beschikbaar voor de volgende NetScaler-versies:
   - NetScaler ADC en NetScaler Gateway vanaf versie 14.1-43.56
   - NetScaler ADC en NetScaler Gateway 13.1 vanaf versie 13.1-58.32
   - NetScaler ADC 13.1-FIPS en 13.1-NDcPP vanaf versie 13.1-37.235
   - NetScaler ADC 12.1-FIPS vanaf versie 12.1-55.328
   Het NCSC adviseert organisaties met klem om de door Citrix
   beschikbaar gestelde beveiligingsupdates op korte termijn te
   installeren.

   Referenties:
      Reference - certbundde; cveprojectv5; nvd
      https://support.citrix.com/support-
      home/kbsearch/article?articleNumber=CTX693420

      Reference - certbundde; cveprojectv5; nvd
      https://support.citrix.com/support-
      home/kbsearch/article?articleNumber=CTX694729

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----

iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmhaxcAACgkQytTOqyR+
cF8sbwwAlG+5wmS5l3dPkXKxYK4ydSijRhQsxuJV9O4R+J8xMsY0iTZu6q3A+kfw
ztbxaQjW2WejOxKoU+QFFSnIhjIJ4T/2Pfp1x7v/QwLip4hDeX4fnmjDBStsW6ll
BjmTwXzxj5YLvWeSTVblK8wHLm9ie3mqWrSziqinxdk3Aoy8E9fEniU0XRFJd01v
U8CXRnVrYOX3vzocz1izH1qj4FgOAL71c1Bs0m7T+4K7UOCslnQgT37+MvlA8Il3
2ZXIM5mqdIRisab6aDN37ProOjJx04zLgI3SQqJqs/TVpV53beHZYD/GRDxjH761
oK3GSHdlMI6BGO+yVcJes9NrVVx2CZ/6ecCXVZjmBZjd8+8tSHBZjFSs2vACxRGR
FUU9exu/2mK99Z6fdZYDM0NpPvq9k5gyQfXFVmvH/ft1y2BsrEl8TvklN8Uv2ytW
UZltz3QK0a+IURlY8h4O8FiudUDQT8mvGTMrsctkWblLLobyEycgxNqFwy7INrQj
f0jUETJ/
=aGFt
-----END PGP SIGNATURE-----