Résumé exécutif
Suite à la vulnérabilité activement exploitée dans Citrix NetScaler (CVE-2025-7775), cette synthèse présente les éléments techniques et les risques associés. Cette faille critique de type dépassement de mémoire a été ajoutée par la CISA à son catalogue des vulnérabilités exploitées connues (KEV) en raison de preuves d’exploitation en cours. Elle permet une exécution de code à distance sans authentification sur les appliances vulnérables, en faisant une cible prioritaire pour les attaquants. L’application immédiate des correctifs et la mise en place de mesures de réponse à incident sont fortement recommandées pour limiter les risques de compromission.
Description et impact : La CVE-2025-7775 est une vulnérabilité critique de type dépassement de mémoire tampon (CWE-119) affectant les appliances Citrix NetScaler ADC et NetScaler Gateway. Exploitée sans authentification préalable (pre-auth), elle permet à un attaquant distant d’exécuter du code arbitraire ou de provoquer un déni de service (RCE/DoS) sur l’appareil ciblé. Citrix a confirmé que cette faille est activement exploitée sur des systèmes non mis à jour, au point que l’agence américaine CISA l’a ajoutée à son catalogue des vulnérabilités exploitées connues (KEV) le 26 août 2025.
Détails techniques : Cette vulnérabilité résulte d’une mauvaise gestion des limites de la mémoire dans le logiciel NetScaler (corruption de mémoire). Elle touche plusieurs scénarios de configuration courants. Sont notamment vulnérables les instances NetScaler configurées en tant que passerelle VPN (serveur virtuel VPN SSL, proxy ICA, CVPN, proxy RDP) ou en tant que serveur virtuel d’authentification AAA. De plus, les déploiements utilisant des serveurs virtuels d’équilibrage de charge (LB) de type HTTP/SSL/QUIC liés à des services IPv6, ainsi que certains serveurs virtuels de Content Routing (type HDX), sont également concernés. En pratique, CVE-2025-7775 est une faille exploitable avant authentification permettant une prise de contrôle complète de l’appliance. Des attaquants l’ont d’ailleurs exploitée zero-day pour implanter des webshells et des portes dérobées persistantes sur des appliances NetScaler compromises. À titre d’indication, environ 14 300 instances NetScaler étaient exposées sur Internet au moment de la divulgation de ces failles, illustrant l’ampleur de la surface d’attaque potentielle.
Sévérité et exploitation : Citrix a attribué à CVE-2025-7775 un score de sévérité de 9,2 (critique) sur l’échelle CVSSv4. Bien que complexes à exploiter, les vulnérabilités de corruption de mémoire de ce type sont prisées par des acteurs malveillants avancés ; elles tendent à être utilisées par des groupes étatiques ou des cybercriminels sophistiqués dans des attaques ciblées, plutôt que par des attaquants opportunistes. Par ailleurs, les appliances NetScaler – souvent déployées en périphérie de réseaux d’entreprise (accès VPN, passerelle applicative, etc.) – constituent des cibles de choix. Des campagnes récentes ont montré que les groupes criminels, notamment liés aux rançongiciels, savent très rapidement armer et exploiter ce genre de faille critique à grande échelle.
Correctifs et recommandations : Le 26 août 2025, Citrix a publié des correctifs pour cette vulnérabilité, ainsi que pour deux autres failles découvertes simultanément (CVE-2025-7776 et CVE-2025-8424, de sévérité moindre). Aucune mesure d’atténuation alternative n’étant disponible, il est impératif d’appliquer ces mises à jour sur les systèmes affectés sans délai. Les versions corrigées de NetScaler sont les suivantes (ou ultérieures) :
- NetScaler ADC et Gateway 14.1 : mettre à jour en version 14.1-47.48
- NetScaler ADC et Gateway 13.1 : version 13.1-59.22
- NetScaler ADC 13.1-FIPS / 13.1-NDcPP : version 13.1-37.241
- NetScaler ADC 12.1-FIPS / 12.1-NDcPP : version 12.1-55.330
NB : Les branches logicielles arrivées en fin de vie (telles que 12.0 ou 13.0) ne recevront pas de correctif. Les organisations concernées doivent donc migrer vers une version supportée le plus rapidement possible.
La CISA encourage d’ailleurs toutes les organisations, y compris hors du secteur fédéral, à corriger sans attendre ce type de vulnérabilité critique afin de réduire leur exposition aux cyberattaques. Il est également conseillé de vérifier que l’interface d’administration de NetScaler (NSIP) n’est pas accessible depuis Internet. Enfin, pour les appliances ayant potentiellement subi une exploitation avant mise à jour,
il est recommandé de mener des analyses d’incident approfondies (recherche de webshells, comptes suspects, etc.) afin d’éradiquer toute persistance qu’un attaquant aurait pu installer.
Sources:
