-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.03 #############################
Titel : Kwetsbaarheden verholpen in Citrix NetScaler ADC en NetScaler Gateway
Advisory ID : NCSC-2025-0196
Versie : 1.03
Kans : high
CVE ID : CVE-2025-5349, CVE-2025-5777
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Out-of-bounds Read
Improper Access Control
Improper Validation of Specified Quantity in Input
Uitgiftedatum : 20250708
Toepassing : Citrix Citrix NetScaler ADC, NetScaler Gateway
Citrix Netscaler ADC, NetScaler Gateway
Versie(s) :
Platform(s) :
Update
Er is Proof-of-Concept-code (PoC) verschenen voor de kwetsbaarheid
met kenmerk CVE-2025-5777. De kans op een toename van scanverkeer en
grootschalig misbruik wordt hierdoor significant groter.
Beschrijving
Citrix heeft kwetsbaarheden verholpen in NetScaler ADC en NetScaler
Gateway.
De kwetsbaarheid met kenmerk CVE-2025-5777 betreft een Out-of-Bounds
Read. Deze kwetsbaarheid ontstaat door onvoldoende invoervalidatie in
systemen die zijn geconfigureerd als Gateway-diensten. Dit betreft
onder andere VPN-virtual servers, ICA Proxy, Citrix Virtual Private
Network (CVPN), Remote Desktop Protocol (RDP) Proxy en AAA-servers.
In tegenstelling tot eerdere informatie van Citrix bevindt deze
kwetsbaarheid zich **niet** in de management-interface. Deze
kwetsbaarheid is daarmee op afstand te misbruiken door een
kwaadwillende zonder voorafgaande authenticatie.
Voor deze kwetsbaarheid is Proof-of-Concept-code (PoC) verschenen. De
kans op een toename in scanverkeer en pogingen tot misbruik wordt
hierdoor significant groter.
De tweede kwetsbaarheid met kenmerk CVE-2025-5349, betreft een
probleem met onjuiste toegangscontrole binnen de NetScaler Management
Interface. Kwaadwillenden kunnen de kwetsbaarheid misbruiken voor het
verkrijgen van ongeautoriseerde toegang tot bepaalde onderdelen van
het systeem. Hiervoor heeft de kwaadwillende toegang nodig tot
specifieke netwerkinterfaces, zoals het Network Services IP (NSIP),
het Cluster Management IP of het lokale Global Server Load Balancing
(GSLB) Site IP.
Mogelijke oplossingen
Citrix heeft updates uitgebracht om deze kwetsbaarheden te verhelpen.
Citrix raadt aan om alle actieve ICA- en PCoIP-sessies te beëindigen
nadat de beveiligingsupdates zijn geïnstalleerd. Raadpleeg het
beveiligingsadvies van Citrix voor aanvullende informatie.
Updates beschikbaar voor de volgende NetScaler-versies:
- NetScaler ADC en NetScaler Gateway vanaf versie 14.1-43.56
- NetScaler ADC en NetScaler Gateway 13.1 vanaf versie 13.1-58.32
- NetScaler ADC 13.1-FIPS en 13.1-NDcPP vanaf versie 13.1-37.235
- NetScaler ADC 12.1-FIPS vanaf versie 12.1-55.328
Het NCSC adviseert organisaties met klem om de door Citrix
beschikbaar gestelde beveiligingsupdates op korte termijn te
installeren.
Referenties:
Reference - certbundde; cveprojectv5; nvd
https://support.citrix.com/support-
home/kbsearch/article?articleNumber=CTX693420
Reference - certbundde; cveprojectv5; nvd
https://support.citrix.com/support-
home/kbsearch/article?articleNumber=CTX694729
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=nctP
-----END PGP SIGNATURE-----
