Hà Lan cảnh báo lỗ hổng Citrix Netscaler CVE-2025-6543 bị khai thác để xâm phạm các tổ chức

Mới đây, Trung tâm An ninh mạng quốc gia Hà Lan (NCSC) đưa ra cảnh báo về lỗ hổng bảo mật nghiêm trọng CVE-2025-6543 trên Citrix NetScaler, đã bị các tác nhân đe doạ khai thác để xâm phạm vào các tổ chức quan trọng tại quốc gia này.

CVE-2025-6543 là lỗ hổng tràn bộ nhớ dẫn đến luồng điều khiển (control flow) không mong muốn hoặc trạng thái từ chối dịch vụ (DoS) trong các sản phầm NetScaler ADC và NetScaler Gateway khi được cấu hình làm Gateway (máy ảo VPN, Proxy ICA, CVPN, Proxy RDP) hoặc máy ảo AAA.

Lỗ hổng này ban đầu được cho là bị khai thác trong các cuộc tấn công DoS, nhưng theo cảnh báo của NCSC hiện chỉ ra rằng những kẻ tấn công đã khai thác CVE-2025-6543 để thực thi mã từ xa. Theo NCSC, các tin tặc đã lợi dụng lỗ hổng để xâm phạm nhiều thực thể tại Hà Lan, sau đó xóa sạch dấu vết của các cuộc tấn công để loại bỏ bằng chứng xâm nhập.

“NCSC xác định rằng nhiều tổ chức quan trọng ở Hà Lan đã bị tấn công thông qua lỗ hổng CVE-2025-6543 trong Citrix NetScaler. Chúng tôi đánh giá các cuộc tấn công là do một hoặc nhiều tác nhân đe doạ có phương thức hoạt động tinh vi thực hiện. Lỗ hổng bị khai thác như một lỗ hổng zero-day và dấu vết đã được các tin tặc chủ động xóa bỏ nhằm che giấu hành vi xâm phạm tại các tổ chức bị ảnh hưởng”, cảnh báo của NCSC cho biết.

Cơ quan này thông báo, các cuộc tấn công xảy ra từ đầu tháng 5/2025, gần hai tháng trước khi Citrix công bố bản tin và cung cấp bản vá, do đó chúng bị khai thác như lỗ hổng zero day trong một thời gian dài.

Để giải quyết rủi ro từ lỗ hổng CVE-2025-6543, các tổ chức được khuyến nghị nâng cấp lên NetScaler ADC và NetScaler Gateway phiên bản 14.1-47.46 trở lên, phiên bản 13.1-59.19 trở lên và ADC 13.1-FIPS và 13.1-NDcPP phiên bản 13.1-37.236 trở lên.

Sau khi cài đặt bản cập nhật, điều quan trọng là phải kết thúc tất cả các phiên đang hoạt động bằng các lệnh sau: kill icaconnection -all, kill pcoipConnection -all, kill aaa session -all, kill rdp connection -all, clear lb persistentSessions.

Khuyến nghị giảm thiểu tương tự cũng được đưa ra đối với lỗ hổng Citrix Bleed 2 đang bị khai thác mạnh mẽ (CVE-2025-5777). Hiện chưa rõ liệu lỗ hổng này có bị lợi dụng trong các cuộc tấn công hay không, hay cả hai lỗ hổng đều có cùng một quy trình cập nhật.

NCSC khuyến cáo quản trị hệ thống tại các tổ chức nên tìm kiếm các dấu hiệu xâm phạm, chẳng hạn như ngày tạo tệp bất thường, tên tệp trùng lặp với phần mở rộng khác nhau và không có tệp PHP trong các thư mục. Cơ quan an ninh mạng cũng đã phát hành một tập lệnh trên GitHub có thể quét các thiết bị để tìm các tệp PHP và XHTML bất thường cũng như các chỉ số IOC khác.