El Centro Nacional de Seguridad Cibernética holandesa (NCSC-NL) advirtió sobre los ataques cibernéticos que explotan una falla de seguridad crítica recientemente revelada que afecta los productos Citrix Netscaler ADC por violar organizaciones en el país.
El NCSC-NL dijo que descubrió la explotación de CVE-2025-6543 dirigido a varias organizaciones críticas dentro de los Países Bajos, y que las investigaciones están en curso para determinar el alcance del impacto.
CVE-2025-6543 (puntaje CVSS: 9.2) es una vulnerabilidad de seguridad crítica en NETSCALER ADC que da como resultado un flujo de control no deseado y negación de servicio (DOS) cuando los dispositivos están configurados como una puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, RDP proxy) o AAA Virtual Server.
La vulnerabilidad se reveló por primera vez a fines de junio de 2025, con parches lanzados en las siguientes versiones –
- NetScaler ADC y Netscaler Gateway 14.1 antes del 14.1-47.46
- Netscaler ADC y Netscaler Gateway 13.1 antes del 13.1-59.19
- NetScaler ADC 13.1-FIPS y NDCPP antes del 13.1-37.236-FIPS y NDCPP
Al 30 de junio de 2025, CVE-2025-6543 se ha agregado al catálogo de Vulnerabilidades Explotadas (CISA) (KEV) de la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos. Otro defecto en el mismo producto (CVE-2025-5777, puntaje CVSS: 9.3) también se colocó en la lista el mes pasado.
NCSC-NL describió la actividad como probable que el trabajo de un actor de amenaza sofisticado, y agregó que la vulnerabilidad ha sido explotada como un día cero desde principios de mayo de 2025, casi dos meses antes de que se revelara públicamente, y los atacantes tomaron medidas para borrar trazas en un esfuerzo por ocultar el compromiso. La explotación se descubrió el 16 de julio de 2025.
«Durante la investigación, se encontraron proyectiles web maliciosos en los dispositivos Citrix», dijo la agencia. «Un shell web es una pieza de código deshonesto que le da a un atacante acceso remoto al sistema. El atacante puede colocar un caparazón web al abusar de una vulnerabilidad».
Para mitigar el riesgo que surge de CVE-2025-6543, se aconseja a las organizaciones que apliquen las últimas actualizaciones y terminen las sesiones permanentes y activas ejecutando los siguientes comandos-
- matar icaconnection -tal
- matar pcoipconnection -tal
- matar aaa session -alt
- matar la conexión RDP -All
- Clear LB PersistentSessions
Las organizaciones también pueden ejecutar un script de shell puesto a disposición por NCSC-NL para buscar indicadores de compromiso asociado con la explotación de CVE-2025-6543.
«Los archivos con una extensión .php diferente en las carpetas del sistema NetScaler Citrix pueden ser una indicación de abuso», dijo NCSC-NL. «Verifique las cuentas recién creadas en Netscaler, y específicamente para cuentas con mayores derechos».