Citrix zero-day sebezhetőség
A Citrix 2025 júniusában ugyan kiadott egy javítást a CVE-2025-6543-as hibára – amelyet azzal jellemzett, hogy memória túlcsordulás miatti nem kívánt vezérlési út és szolgáltatásmegtagadás lehetséges –, valójában a sebezhetőséget már jóval korábban, 2025 májusa óta aktívan kihasználták. Citrix azonban nem közölte nyilvánosan, hogy távoli kódfuttatásra alkalmas, és valószínűleg tudott a támadásról, erről viszont hallgatott.
A támadók széles körben kompromittálták a NetScaler alapú távoli hozzáférést biztosító rendszereket, rendszerekbe webshell-ek kerültek be, ami lehetővé tette a hozzáférés fenntartását még a javítások alkalmazása után is. A támadás kormányzati és jogi intézményeket is érintett világszerte.
Az NCSC Hollandia jelentése segített feltárni a teljes veszélyt. Megállapították, hogy a támadás legalább 2025 májusától folyamatosan zajlott, még a javítás előtt, így a CVE-2025-6543 valószínűsíthetően zero-day státusú hibaként került kihasználásra. A támadók sikeresen eltüntették a nyomokat, ami jelentősen megnehezíti az incidensek utólagos kivizsgálását.
A sebezhetőség működési mechanizmusa az volt, hogy a támadó egy rosszindulatú kliens tanúsítványt (client certificate) küldött a /cgi/api/login végpontra, ami memóriafelülírást eredményezett és távoli kódfuttatásra adott lehetőséget. Ezzel a támadók hozzáfértek a rendszerhez, webshell-eket telepítettek, és továbbjutva a hálózaton belül más rendszerek felé, akár Active Directory vagy LDAP szolgáltatásokat is támadhattak.
