CVE-2025-7775 : Vulnérabilité critique dans Citrix NetScaler ADC et Gateway - Exploitation active

> Alerte CERT-FR CERTFR-2025-ALE-012 — Vulnérabilité critique avec exploitation active — Mise à jour immédiate requise

Le 26 août 2025, Citrix a publié un bulletin de sécurité concernant la vulnérabilité CVE-2025-7775, une faille de sécurité critique permettant une exécution de code arbitraire à distance sur les systèmes NetScaler ADC et NetScaler Gateway. Citrix indique que cette vulnérabilité est activement exploitée.

Résumé exécutif

• CVE : CVE-2025-7775
• Gravité : Critique (RCE)
• Type : Exécution de code arbitraire à distance
• Authentification requise : Non spécifié
• Complexité d'exploitation : Non spécifiée
• Statut : Exploitation active confirmée
• Date de publication : 26 août 2025
• Dernière mise à jour CERT-FR : 26 septembre 2025

Systèmes affectés

NetScaler ADC

• NetScaler ADC 12.1-FIPS et 12.1-NDcPP < 12.1-55.330
• NetScaler ADC 13.1-FIPS et 13.1-NDcPP < 13.1-37.241
• NetScaler ADC < 13.1-59.22
• NetScaler ADC < 14.1-47.48

NetScaler Gateway

• NetScaler Gateway < 13.1-59.22
• NetScaler Gateway < 14.1-47.48

Versions obsolètes

Citrix rappelle que les versions 12.1 et 13.0 de NetScaler ADC et NetScaler Gateway sont obsolètes et ne recevront plus de mises à jour de sécurité. L'éditeur recommande de migrer vers une version maintenue et à jour.

Description de la vulnérabilité

Contexte

La vulnérabilité CVE-2025-7775 affecte toutes les versions de Citrix NetScaler ADC et NetScaler Gateway, mais uniquement dans certaines configurations détaillées par l'éditeur.

Impact

Cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire à distance sur les systèmes affectés, pouvant entraîner :

• Prise de contrôle complète du système
• Accès aux données sensibles
• Compromission du réseau interne
• Utilisation comme point d'entrée pour des attaques latérales

Exploitation active

Citrix indique que la vulnérabilité CVE-2025-7775 est activement exploitée, ce qui signifie que des attaquants utilisent actuellement cette faille pour compromettre des systèmes en production.

Solutions et correctifs

Mise à jour immédiate requise

Le CERT-FR recommande l'application des correctifs dans les plus brefs délais.

Se référer au bulletin de sécurité Citrix pour l'obtention des correctifs :

• Bulletin de sécurité Citrix CTX694938

Versions minimales sécurisées

NetScaler ADC :

• 12.1-FIPS et 12.1-NDcPP : >= 12.1-55.330
• 13.1-FIPS et 13.1-NDcPP : >= 13.1-37.241
• 13.1 : >= 13.1-59.22
• 14.1 : >= 14.1-47.48

NetScaler Gateway :

• 13.1 : >= 13.1-59.22
• 14.1 : >= 14.1-47.48

Migration des versions obsolètes

Pour les systèmes utilisant des versions obsolètes (12.1 ou 13.0), Citrix recommande de migrer vers une version maintenue et à jour qui reçoit des mises à jour de sécurité régulières.

Recherche de compromission

En cas de soupçons de compromission

Citrix fournit des recommandations spécifiques en cas de soupçons de compromission :

• Recommandations Citrix en cas de soupçons de compromission

Actions recommandées

Si vous suspectez une compromission :

1. Isoler le système du réseau

2. Préserver les preuves (logs, fichiers système)

3. Qualifier la compromission (voir CERTFR-2025-RFX-001)

4. Endiguer l'incident (voir CERTFR-2025-RFX-002)

5. Signaler l'événement auprès du CERT-FR si nécessaire

Impact sur les PME

Pourquoi cette vulnérabilité est critique

1. Exposition Internet directe

• Les équipements NetScaler sont souvent exposés directement sur Internet
• Ils constituent des points d'entrée critiques pour l'accès VPN et les applications
• Une compromission permet un accès privilégié au réseau interne

2. Exploitation active confirmée

• Des attaques actives sont confirmées par Citrix
• Le risque d'exploitation en masse est élevé
• Les systèmes non mis à jour sont des cibles faciles

3. Complexité de la mise à jour

• Les mises à jour d'équipements réseau nécessitent souvent une fenêtre de maintenance
• Peuvent nécessiter des tests approfondis en environnement de staging
• Risque de coupure de service pendant la mise à jour

Actions recommandées pour les PME

Immédiat (0-24h) :

1. ✅ Vérifier les versions de vos équipements NetScaler

2. ✅ Identifier les équipements exposés sur Internet

3. ✅ Vérifier si vous utilisez des versions obsolètes nécessitant une migration

4. ✅ Planifier la mise à jour en urgence

Court terme (1-7 jours) :

1. ✅ Mettre à jour tous les équipements vers les versions sécurisées

2. ✅ Pour les versions obsolètes : planifier la migration

3. ✅ Auditer les logs pour détecter des tentatives d'exploitation

4. ✅ Vérifier l'intégrité de tous les équipements

Moyen terme (1-4 semaines) :

1. ✅ Mettre en place un processus de veille sécurité

2. ✅ Automatiser les mises à jour de sécurité

3. ✅ Renforcer le monitoring et la détection

4. ✅ Planifier des audits de sécurité réguliers

Bonnes pratiques de sécurité

Gestion des équipements réseau

1. Veille sécurité active

• S'abonner aux alertes CERT-FR
• Suivre les avis de sécurité des éditeurs (Citrix Security Advisories)
• Utiliser des outils de veille sécurité

2. Monitoring et logging

• Activer les logs détaillés sur tous les équipements
• Centraliser les logs sur un système de gestion des logs (SIEM)
• Monitorer les événements de sécurité en temps réel

3. Configuration sécurisée

• Désactiver les services non nécessaires
• Limiter l'accès aux interfaces d'administration
• Utiliser l'authentification à deux facteurs (2FA)
• Appliquer le principe du moindre privilège

Gestion du cycle de vie

1. Inventaire

• Maintenir un inventaire à jour des équipements
• Suivre les cycles de vie des produits
• Identifier les versions obsolètes nécessitant une migration

2. Planification des migrations

• Planifier les migrations des versions obsolètes
• Tester les migrations en environnement de staging
• Documenter les procédures de migration

3. Procédures de mise à jour

• Planifier les fenêtres de maintenance
• Tester les mises à jour en environnement de staging
• Valider les fonctionnalités critiques après mise à jour

Références et documentation

Avis officiels

• Bulletin de sécurité Citrix CTX694938 du 26 août 2025
• Alerte CERT-FR CERTFR-2025-ALE-012
• Avis CERT-FR CERTFR-2025-AVI-0730 du 26 août 2025

Guides de réponse aux incidents

• Compromission d'un équipement de bordure réseau - Qualification (CERTFR-2025-RFX-001)
• Compromission d'un équipement de bordure réseau - Endiguement (CERTFR-2025-RFX-002)
• Recommandations Citrix en cas de soupçons de compromission

Référence CVE

• CVE-2025-7775

Conclusion

La vulnérabilité CVE-2025-7775 dans Citrix NetScaler ADC et NetScaler Gateway est une faille de sécurité critique avec une exploitation active confirmée. Tous les systèmes affectés doivent être mis à jour immédiatement vers les versions sécurisées.

Points clés à retenir :

• ✅ Exploitation active confirmée par Citrix
• ✅ Toutes les versions sont affectées dans certaines configurations
• ✅ Versions obsolètes (12.1 et 13.0) nécessitent une migration
• ✅ Mise à jour urgente requise pour tous les systèmes
• ✅ Recherche de compromission recommandée en cas de soupçons

Action immédiate :

Vérifiez vos équipements Citrix NetScaler, identifiez les versions affectées, et mettez à jour sans délai vers les versions sécurisées. Pour les versions obsolètes, planifiez une migration vers une version maintenue.

Besoin d'aide pour sécuriser votre infrastructure réseau ? Découvrez notre service de **pentest web** pour identifier et corriger les vulnérabilités avant qu'elles ne soient exploitées.