Une vulnérabilité critique récemment découverte affectant les appliances Citrix NetScaler ADC est actuellement exploitée par des cybercriminels, selon une alerte du Centre national néerlandais de cybersécurité (NCSC-NL). La faille CVE-2025-6543, affichant un score de sévérité CVSS de 9.2, vise des secteurs sensibles aux Pays-Bas. Beaucoup d’organisations recherchent désormais des solutions pour protéger leur infrastructure Citrix contre des attaques, déclenchées avant même que la faille ne soit rendue publique. Les utilisateurs s’inquiètent de savoir comment se prémunir contre les failles Citrix et quelles sont les conséquences lorsqu’un attaquant exploite une vulnérabilité zero-day.
Une vulnérabilité critique exploitée par des acteurs avancés
Faille CVE-2025-6543 : menace active contre les infrastructures Citrix
La faille CVE-2025-6543 concerne les dispositifs Citrix NetScaler ADC configurés en tant que serveurs VPN, ICA Proxy, CVPN, RDP Proxy ou serveurs AAA. Cette vulnérabilité entraîne une prise de contrôle du flux d’exécution ainsi qu’un risque de déni de service (DoS). Le bug touche plusieurs versions non corrigées des produits suivants :
- NetScaler ADC et NetScaler Gateway 14.1 avant la version 14.1-47.46
- NetScaler ADC et NetScaler Gateway 13.1 avant la version 13.1-59.19
- NetScaler ADC 13.1-FIPS et NDcPP avant 13.1-37.236-FIPS et NDcPP
Cette faille a été publiée fin juin 2025, bien que les premières activités d’exploitation remontent à début mai. Ceci indique une exploitation en tant que zero-day – une vulnérabilité utilisée par des attaquants avant même que le fournisseur n’en prenne connaissance. Le NCSC-NL a confirmé la présence de web shells malveillants placés discrètement par les attaquants pour maintenir un accès persistant, effaçant leurs traces pour éviter toute détection.
Secteurs ciblés et origine des attaques
Le NCSC souligne que plusieurs organisations critiques ont été visées aux Pays-Bas. L’attaque semble être orchestrée par un acteur sophistiqué, potentiellement lié à des activités étatiques ou à des groupes spécialisés dans le cyber-espionnage. Le 16 juillet 2025, des investigations ont permis d’identifier l’utilisation de code malveillant PHP dissimulé dans les dossiers système Citrix. Cela peut trahir la volonté de contrôle à distance par le biais d’un shell web.
Mesures d’urgence recommandées aux administrateurs
Patchs de sécurité disponibles pour contrer l’exploitation
Citrix a rapidement publié des correctifs de sécurité pour contrer la menace. Les organisations exécutant des appliances NetScaler sont invitées à appliquer immédiatement les dernières mises à jour logicielles. L’incorporation de la faille au catalogue KEV (Known Exploited Vulnerabilities) de la CISA américaine depuis le 30 juin 2025 démontre la criticité du problème à l’échelle mondiale.
Commandes et outils pour éliminer les sessions suspectes
Le NCSC recommande de mettre fin aux sessions persistantes potentiellement compromises via les commandes suivantes :
kill icaconnection -all kill pcoipConnection -all kill aaa session -all kill rdp connection -all clear lb persistentSessions
Un script shell proposé par le NCSC-NL permet également de rechercher des indicateurs de compromission. Il est conseillé de vérifier la présence de fichiers PHP anormaux et la création de comptes d’administration suspects sur les appliances NetScaler.
Prévention : renforcer ses compétences en cybersécurité
Se former pour anticiper les vulnérabilités zero-day
Ce type d’exploitation démontre la nécessité pour les professionnels IT et les administrateurs système de renforcer leurs connaissances techniques pour mieux comprendre comment une faille peut être exploitée. Pour les curieux ou passionnés de cybersécurité souhaitant apprendre à hacker dans un cadre légal et éducatif, notre livre pour hacker fournit une approche détaillée sur les méthodes d’analyse de vulnérabilités, les tests de pénétration et les techniques utilisées par les attaquants.
Surveiller les appliances exposées sur internet
Les appliances NetScaler exposées sur Internet restent des cibles privilégiées. La mise en place de mécanismes de détection d’intrusions et la tenue de journaux d’audit réguliers sont recommandées pour identifier les comportements anormaux. Le déploiement de solutions de sécurité périmétrique, couplé à une stratégie SOC ou MSSP, est fortement conseillé.
CyberCare accompagne ses clients avec des audits de sécurité ciblés et des plans de remédiation pour ce type de vulnérabilités critiques, qu’elles affectent Citrix ou d’autres composants essentiels de leur infrastructure numérique.
