Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Citrix po raz kolejny zmaga się z poważnymi lukami w zabezpieczeniach swoich urządzeń NetScaler ADC i Gateway. Trzy nowe podatności, oznaczone jako CVE-2025-5349, CVE-2025-5777 i CVE-2025-6543, osiągają wysokie wyniki w skali CVSS (od 8,7 do 9,3), co kwalifikuje je jako krytyczne. I choć producent szybko udostępnił poprawki, sytuacja przypomina wydarzenia z 2023 roku, kiedy podatność typu zero-day doprowadziła do masowych ataków na użytkowników Citrix.
W najnowszym przypadku mamy do czynienia z błędami związanymi z wyciekiem danych z pamięci serwerów VPN, a także klasycznym przepełnieniem bufora. Szczególnie groźna wydaje się luka CVE-2025-6543, która według Citrix jest już aktywnie wykorzystywana i może prowadzić do całkowitego unieruchomienia urządzeń.
Zalecenia producenta są jednoznaczne: klienci korzystający ze starszych wersji (np. 14.1 < 14.1-43.56, 13.1 < 13.1-58.32) powinni jak najszybciej przeprowadzić aktualizację. Dodatkowo, dla pełnej skuteczności łatki dotyczącej dwóch pierwszych luk, zaleca się zerwanie aktywnych sesji VPN – co przypomina doświadczenia z „Citrix Bleed”, kiedy samo załatanie systemu nie wystarczyło, by powstrzymać ataki.
Choć Citrix działa teraz szybciej i bardziej transparentnie niż dwa lata temu, nowe incydenty wzbudzają uzasadniony niepokój wśród administratorów. W 2023 roku luka zero-day była wykorzystywana jeszcze długo po wydaniu łatki, a wiele organizacji nie miało pełnej świadomości zagrożenia. Tym razem producent uprzedza, że jeden z błędów już jest eksploatowany, co powinno być sygnałem alarmowym.
Skala problemu jeszcze nieznana
Na razie nie ma danych, które pozwoliłyby ocenić skalę potencjalnych kompromitacji, ale biorąc pod uwagę, że NetScaler to produkt powszechnie stosowany w instytucjach finansowych, administracji i dużych firmach – zagrożenie należy traktować poważnie. Trudno też nie zauważyć, że podatności typu „out-of-bounds read” i „buffer overflow” są klasycznymi wektorami ataków umożliwiających uzyskanie dostępu do poufnych danych, a nawet przejęcie kontroli nad urządzeniem.
Dla Citrix to kolejny test zaufania. W erze coraz bardziej skomplikowanych ataków, producenci infrastruktury VPN nie mogą pozwolić sobie na powtórki z przeszłości. Tym bardziej, że konkurencja nie śpi, a sektor zabezpieczeń zyskał nową wagę strategiczną w dobie powszechnej cyfryzacji.
Wnioski? Jeśli uczysz się na błędach, to dobrze – jeśli na własnych, to kosztownie. Citrix ma dziś szansę pokazać, że wyciągnął wnioski z „Bleed 1.0”. Użytkownicy powinni zadbać, by nie powtórzyć swojego.
