De kritieke kwetsbaarheid in Citrix NetScaler treft wereldwijd meer dan 21.500 systemen. CVE-2025-7775 wordt al actief uitgebuit door aanvallers, terwijl 9.052 kwetsbare instanties zich in Europa bevinden.
De Amerikaanse cyberbeveiligingsorganisatie CISA heeft het NetScaler-lek toegevoegd aan zijn Known Exploited Vulnerabilities-catalogus, wat de ernst van de situatie onderstreept. Amerikaanse federale agentschappen krijgen vanwege de renst tot vandaag (28 augustus) de tijd om de patches te installeren of de getroffen producten uit gebruik te nemen. Ook het Nederlandse Nationaal Cyber Security Centrum heeft gewaarschuwd voor de nieuwste NetScaler-kwetsbaarheid.
Het feit dat CVE-2025-7775 al actief wordt uitgebuit door aanvallers maakt onmiddellijke actie noodzakelijk. Citrix heeft echter geen indicators of compromise gedeeld, wat de detectie van eventuele compromissen bemoeilijkt.
Grootschalige blootstelling
Internetscans van security-platform The Shadowserver Foundation tonen aan dat momenteel 21.534 Citrix-instanties wereldwijd vatbaar zijn voor de kritieke CVE-2025-7775 kwetsbaarheid. De meeste kwetsbare instances staan in de Verenigde Staten (7.626), gevolgd door Duitsland (3.196) en het Verenigd Koninkrijk (1.186). Nederland telt 475 kwetsbare systemen en Zwitserland 822.
Van deze systemen bevinden zich 9.052 in Europa. De kwetsbaarheid betreft een remote code execution-fout in NetScaler ADC en NetScaler Gateway. Deze systemen worden breed ingezet voor toegangsbeheer en VPN-connectiviteit in bedrijfsomgevingen.
Getroffen versies en configuraties
CVE-2025-7775 treft verschillende NetScaler-versies: 14.1 voor 14.1-47.48, 13.1 voor 13.1-59.22, 13.1-FIPS/NDcPP voor 13.1-37.241-FIPS/NDcPP en 12.1-FIPS/NDcPP tot 12.1-55.330-FIPS/NDcPP.
Het lek manifesteert zich wanneer NetScaler is geconfigureerd als Gateway/AAA virtual server voor VPN, ICA Proxy, CVPN of RDP Proxy. Ook systemen die draaien als load balancer virtual servers gebonden aan IPv6 of DBS IPv6-diensten kunnen getroffen zijn.
Vereiste acties
Citrix heeft inmiddels patches uitgebracht om het probleem te verhelpen en biedt geen workarounds of mitigaties aan. Het bedrijf dringt er bij beheerders op aan om onmiddellijk te upgraden naar de gepatchte versies: 14.1-47.48, 13.1-59.22, 13.1-37.241 voor FIPS/NDcPP-varianten of 12.1-55.330 voor 12.1-FIPS/NDcPP.
Naast de kritieke remote code execution-kwetsbaarheid heeft Citrix twee andere high-severity flaws aangepakt: CVE-2025-7776 (memory overflow denial-of-service) en CVE-2025-8424 (ondeugdelijke toegangscontrole op de management interface).
Versies 12.1 en 13.0 (non-FIPS/NDcPP) zijn eveneens kwetsbaar maar hebben End of Life-status bereikt. Gebruikers van deze versies moeten overstappen naar ondersteunde releases.
De brede inzet van NetScaler-systemen in enterprise-omgevingen maakt deze kwetsbaarheid bijzonder gevaarlijk. Deze apparaten staan vaak aan de rand van bedrijfsnetwerken en beheren kritieke functies zoals authenticatie en toegangsbeheer tot gevoelige bedrijfsmiddelen.