El Centro Doméstico de Seguridad Cibernética holandesa (NCSC-NL) advirtió sobre los ataques cibernéticos que explotan una error de seguridad crítica recientemente revelada que afecta los productos Citrix Netscaler ADC por violar organizaciones en el país.
El NCSC-NL dijo que descubrió la explotación de CVE-2025-6543 dirigido a varias organizaciones críticas en el interior de los Países Bajos, y que las investigaciones están en curso para determinar el envergadura del impacto.
CVE-2025-6543 (puntaje CVSS: 9.2) es una vulnerabilidad de seguridad crítica en NETSCALER ADC que da como resultado un flujo de control no deseado y incapacidad de servicio (DOS) cuando los dispositivos están configurados como una puerta de enlace (servidor aparente VPN, proxy ICA, CVPN, RDP proxy) o AAA Imaginario Server.
La vulnerabilidad se reveló por primera vez a fines de junio de 2025, con parches lanzados en las siguientes versiones –
- NetScaler ADC y Netscaler Gateway 14.1 antiguamente del 14.1-47.46
- Netscaler ADC y Netscaler Gateway 13.1 antiguamente del 13.1-59.19
- NetScaler ADC 13.1-FIPS y NDCPP antiguamente del 13.1-37.236-FIPS y NDCPP
Al 30 de junio de 2025, CVE-2025-6543 se ha apéndice al catálogo de Vulnerabilidades Explotadas (CISA) (KEV) de la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos. Otro defecto en el mismo producto (CVE-2025-5777, puntaje CVSS: 9.3) incluso se colocó en la letanía el mes pasado.
NCSC-NL describió la actividad como probable que el trabajo de un actor de amenaza sofisticado, y agregó que la vulnerabilidad ha sido explotada como un día cero desde principios de mayo de 2025, casi dos meses antiguamente de que se revelara públicamente, y los atacantes tomaron medidas para borrar trazas en un esfuerzo por ocultar el compromiso. La explotación se descubrió el 16 de julio de 2025.
«Durante la investigación, se encontraron proyectiles web maliciosos en los dispositivos Citrix», dijo la agencia. «Un shell web es una cuchitril de código deshonesto que le da a un atacante paso remoto al sistema. El atacante puede colocar un caparazón web al atropellar de una vulnerabilidad».
Para mitigar el aventura que surge de CVE-2025-6543, se aconseja a las organizaciones que apliquen las últimas actualizaciones y terminen las sesiones permanentes y activas ejecutando los siguientes comandos-
- matar icaconnection -tal
- matar pcoipconnection -tal
- matar aaa session -alt
- matar la conexión RDP -All
- Clear LB PersistentSessions
Las organizaciones incluso pueden ejecutar un script de shell puesto a disposición por NCSC-NL para apañarse indicadores de compromiso asociado con la explotación de CVE-2025-6543.
«Los archivos con una extensión .php diferente en las carpetas del sistema NetScaler Citrix pueden ser una indicación de alcaldada», dijo NCSC-NL. «Verifique las cuentas recién creadas en Netscaler, y específicamente para cuentas con mayores derechos».
