Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
NetScaler ha avvisato gli amministratori di tre nuove vulnerabilità in NetScaler ADC e NetScaler Gateway, una delle quali è già utilizzata in attacchi attivi. Sono disponibili aggiornamenti e il fornitore invita a installarli immediatamente: exploit per CVE-2025-7775 sono stati individuati su dispositivi non protetti.
I bug includono un overflow di memoria con rischio di esecuzione di codice e di negazione del servizio, un secondo bug simile con crash del servizio e comportamento imprevedibile e un problema di controllo degli accessi nell’interfaccia di gestione. I bug interessano sia le release standard sia le build conformi a FIPS/NDcPP. Gli aggiornamenti sono già stati distribuiti per i servizi cloud gestiti dal fornitore, ma le installazioni client richiedono aggiornamenti manuali.
Le versioni interessate sono: NetScaler ADC e Gateway 14.1 (precedentemente alla versione 14.1-47.48), 13.1 (precedente alla versione 13.1-59.22), nonché NetScaler ADC 13.1-FIPS/NDcPP (precedente alla versione 13.1-37.241) e 12.1-FIPS/NDcPP (precedente alla versione 12.1-55.330).
| CVE-ID | Descrizione | Prerequisiti | CWE | CVSS v4.0 |
|---|---|---|---|---|
| CVE-2025-7775 | Overflow di memoria che porta all’esecuzione di codice remoto e/o al diniego del servizio | NetScaler configurato come gateway ( server virtuale VPN , proxy ICA, CVPN, proxy RDP) o come server virtuale AAA OPPURE NetScaler ADC e NetScaler Gateway 13.1, 14.1, 13.1-FIPS e NDcPP: server virtuali LB di tipo HTTP, SSL o HTTP_QUIC associati a servizi IPv6 o a gruppi di servizi che includono server IPv6 OPPURE NetScaler ADC e NetScaler Gateway 13.1, 14.1, 13.1-FIPS e NDcPP: server virtuali LB di tipo HTTP, SSL o HTTP_QUIC associati a servizi DBS IPv6 o a gruppi che includono server DBS IPv6OPPURE CR-server virtuale tipo HDX | CWE-119 – Limite errato per le operazioni all’interno del buffer di memoria | Valutazione di base: 9.2 |
| CVE-2025-7776 | Overflow di memoria che porta a comportamenti imprevedibili o errati e negazione del servizio | NetScaler è configurato come gateway (server virtuale VPN, proxy ICA, CVPN, proxy RDP) con un profilo PCoIP associato | CWE-119 – Limite errato per le operazioni all’interno del buffer di memoria | Valutazione di base: 8,8 |
| CVE-2025-8424 | Controllo di accesso non valido sull’interfaccia di gestione di NetScaler | Accesso a NSIP, IP di gestione del cluster, IP del sito GSLB locale o SNIP con accesso di gestione abilitato | CWE-284 – Controllo di accesso errato | Valutazione di base: 8.7 |
Si segnala inoltre che le versioni 12.1 e 13.0 non sono più supportati e devono essere trasferiti alle versioni correnti. Gli aggiornamenti sono disponibili sia per i gateway standard sia per le distribuzioni Secure Private Access on-prem e ibride che utilizzano istanze NetScaler.
Citrix consiglia di effettuare l’aggiornamento alle seguenti build:
Non ci sono soluzioni alternative.
Sono già state implementate delle correzioni per i cloud gestiti da Citrix e per l’Autenticazione Adattiva.
Per valutare la propria installazione, gli amministratori possono verificare la presenza nella propria configurazione delle stringhe rivelatrici elencate nel bollettino. Citrix ha inviato una notifica a clienti e partner tramite il sito di supporto di NetScaler. I problemi sono confermati anche dai bollettini di settore e dai database delle vulnerabilità.
