Aktív Citrix NetScaler kihasználás Hollandiában
A holland Nemzeti Kiberbiztonsági Központ (NCSC-NL) megerősítette, hogy kifinomult kibertámadás ért több holland kritikus szervezetet, amelyek során a Citrix NetScaler CVE-2025-6543 sérülékenységét használták ki. Miután július 16-án észlelte az NCSC a Citrix sérülékenységének kihasználását, kiterjedt vizsgálatokat folytatott. Ugyanakkor továbbra is jelentős bizonytalanság övezi, hogy mely szervezetek rendszereit kompromittálták, a támadó még mindig aktív-e, és mekkora a támadás teljes hatása.
Július 18-ig több szervezet is jelentette, hogy nyomokat talált a biztonsági rés kihasználására. Július 21-én az NCSC tájékoztatta célcsoportjait egy olyan szkript közzétételéről, amely az IOC-k jelenlétének ellenőrzésére használható. Ez a szkript az NCSC GitHub-oldalán került közzétételre. Az NCSC azóta többször is frissítette ezt a szkriptet. A Citrix NetScaler rendszer mappáiban található, szokatlan [.]php kiterjesztésű fájlok kihasználásra utalhatnak. A rendellenes PHP-fájlok jelei között szerepel a szokatlan létrehozási dátum, egy másik fájlhoz hasonló név, de eltérő kiterjesztéssel, vagy az, hogy ugyanabban a mappában kevés vagy egyáltalán nincs más PHP-fájl.
Az NCSC arra a következtetésre jutott, hogy a Citrix NetScaler ADC sérülékenységet először május elején használták ki. A rendszerek frissítése azonban nem elegendő a kihasználás kockázatának kiküszöböléséhez. A támadó a sérülékenység javítása után is megtarthatja a korábban megszerzett hozzáférést a rendszerhez.
Az NCSC a támadásokat egy vagy több szereplő kifinomult módszerekkel végrehajtott tevékenységének tartja. Például a sérülékenységet zero dayként használták ki, és törölték a nyomokat, hogy elrejtsék tevékenységüket az érintett rendszerekben. A vizsgálat még folyamatban van, de már most megállapítható, hogy talán nem minden kérdésre lesz válasz a támadásokkal kapcsolatban, elsősorban a hiányzó nyomok miatt.
