3 уязвимости в NetScaler. Одна из них 0Day. Обновления обязательны

Silkway News
Silkway News
  • Date Time

NetScaler предупредил администраторов о трёх новых уязвимостях в NetScaler ADC и NetScaler Gateway, одна из которых уже используется в атаках. Обновления доступны, а производитель настоятельно просит установить их без промедления – эксплойты для CVE-2025-7775 замечены на незащищённых устройствах.

Речь идёт о переполнении памяти с риском выполнения кода и отказа в обслуживании, второй схожей ошибке с падением служб и непредсказуемым поведением, а также о проблеме контроля доступа на интерфейсе управления. Дефекты касаются как обычных релизов, так и соответствующих FIPS/NDcPP сборок. Для управляемых производителем облачных сервисов обновления уже развёрнуты, но клиентские инсталляции требуют ручного апгрейда.

Под удар попадают поддерживаемые ветки: NetScaler ADC и Gateway 14.1 до 14.1-47.48, 13.1 до 13.1-59.22, а также NetScaler ADC 13.1-FIPS/NDcPP до 13.1-37.241 и 12.1-FIPS/NDcPP до 12.1-55.330. Отдельно отмечено, что ветки 12.1 и 13.0 сняты с поддержки и должны быть переведены на актуальные линии. Обновления выпускаются как для стандартных шлюзов, так и для развертываний Secure Private Access on-prem и гибридных сценариев, где используются инстансы NetScaler.

Уязвимости в NetScaler ADC и NetScaler Gateway

CVE-ID Описание Предварительные условия CWE CVSS v4.0
CVE-2025-7775 Переполнение памяти, приводящее к удалённому выполнению кода и/или отказу в обслуживании
  • NetScaler настроен как шлюз (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) или как AAA virtual server
  • ИЛИ NetScaler ADC и NetScaler Gateway 13.1, 14.1, 13.1-FIPS и NDcPP: LB-виртуальные серверы типа HTTP, SSL или HTTP_QUIC, связанные с IPv6-сервисами либо с группами сервисов, в которые входят IPv6-серверы
  • ИЛИ NetScaler ADC и NetScaler Gateway 13.1, 14.1, 13.1-FIPS и NDcPP: LB-виртуальные серверы типа HTTP, SSL или HTTP_QUIC, связанные с IPv6-сервисами DBS либо с группами, куда входят IPv6-серверы DBS
  • ИЛИ CR-виртуальный сервер типа HDX
 CWE-119 – Неправильное ограничение операций в пределах буфера памяти Базовая оценка: 9.2
CVE-2025-7776 Переполнение памяти, ведущее к непредсказуемому или ошибочному поведению и отказу в обслуживании
  • NetScaler настроен как шлюз (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) с привязанным PCoIP-профилем
 CWE-119 – Неправильное ограничение операций в пределах буфера памяти Базовая оценка: 8.8
СVE-2025-8424 Неверный контроль доступа на интерфейсе управления NetScaler
  • Доступ к NSIP, Cluster Management IP, локальному GSLB Site IP или SNIP с включённым Management Access
 CWE-284 – Неправильный контроль доступа Базовая оценка: 8.7

Citrix рекомендует обновиться до следующих сборок:

  • 14.1-47.48 и новее для линии 14.1;

  • 13.1-59.22 и новее для 13.1;

  • 13.1-37.241 и новее для 13.1-FIPS/NDcPP;

  • 12.1-55.330 и новее для 12.1-FIPS/NDcPP.

Обходных мер не предусмотрено. Для управляемых Citrix облаков и Adaptive Authentication исправления уже внедрены.

Чтобы оценить собственную экспозицию под CVE -2025-7775, администраторы могут проверить конфигурацию на наличие характерных строк, указанных в бюллетене. Citrix разослал клиентам и партнёрам уведомление через сайт поддержки NetScaler. Проблемы также подтверждены отраслевыми сводками и базами уязвимостей.

Public Release.

© 2025 - Silkway News