El Centro Doméstico de Seguridad Cibernética holandesa (NCSC-NL) advirtió sobre los ataques cibernéticos que explotan una descompostura de seguridad crítica recientemente revelada que afecta los productos Citrix Netscaler ADC por violar organizaciones en el país.
El NCSC-NL dijo que descubrió la explotación de CVE-2025-6543 dirigido a varias organizaciones críticas internamente de los Países Bajos, y que las investigaciones están en curso para determinar el difusión del impacto.
CVE-2025-6543 (puntaje CVSS: 9.2) es una vulnerabilidad de seguridad crítica en NETSCALER ADC que da como resultado un flujo de control no deseado y privación de servicio (DOS) cuando los dispositivos están configurados como una puerta de enlace (servidor supuesto VPN, proxy ICA, CVPN, RDP proxy) o AAA Aparente Server.
La vulnerabilidad se reveló por primera vez a fines de junio de 2025, con parches lanzados en las siguientes versiones –
- NetScaler ADC y Netscaler Gateway 14.1 antaño del 14.1-47.46
- Netscaler ADC y Netscaler Gateway 13.1 antaño del 13.1-59.19
- NetScaler ADC 13.1-FIPS y NDCPP antaño del 13.1-37.236-FIPS y NDCPP
Al 30 de junio de 2025, CVE-2025-6543 se ha colaborador al catálogo de Vulnerabilidades Explotadas (CISA) (KEV) de la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos. Otro defecto en el mismo producto (CVE-2025-5777, puntaje CVSS: 9.3) incluso se colocó en la repertorio el mes pasado.
NCSC-NL describió la actividad como probable que el trabajo de un actor de amenaza sofisticado, y agregó que la vulnerabilidad ha sido explotada como un día cero desde principios de mayo de 2025, casi dos meses antaño de que se revelara públicamente, y los atacantes tomaron medidas para borrar trazas en un esfuerzo por ocultar el compromiso. La explotación se descubrió el 16 de julio de 2025.
“Durante la investigación, se encontraron proyectiles web maliciosos en los dispositivos Citrix”, dijo la agencia. “Un shell web es una habitación de código deshonesto que le da a un atacante acercamiento remoto al sistema. El atacante puede colocar un caparazón web al forzar de una vulnerabilidad”.
Para mitigar el peligro que surge de CVE-2025-6543, se aconseja a las organizaciones que apliquen las últimas actualizaciones y terminen las sesiones permanentes y activas ejecutando los siguientes comandos-
- matar icaconnection -tal
- matar pcoipconnection -tal
- matar aaa session -alt
- matar la conexión RDP -All
- Clear LB PersistentSessions
Las organizaciones incluso pueden ejecutar un script de shell puesto a disposición por NCSC-NL para despabilarse indicadores de compromiso asociado con la explotación de CVE-2025-6543.
“Los archivos con una extensión .php diferente en las carpetas del sistema NetScaler Citrix pueden ser una indicación de injusticia”, dijo NCSC-NL. “Verifique las cuentas recién creadas en Netscaler, y específicamente para cuentas con mayores derechos”.
