Selon DoublePulsar (29/08/2025), s’appuyant sur un rapport du NCSC des Pays‑Bas, la vulnérabilité CVE‑2025‑6543 affectant Citrix NetScaler a été activement exploitée en zero‑day depuis début mai 2025, bien avant le correctif publié fin juin. Bien que décrite par Citrix comme un simple problème de déni de service, elle permet en réalité l’exécution de code à distance (RCE) et a conduit à des compromissions étendues, notamment d’organismes gouvernementaux et de services juridiques. Citrix aurait fourni sur demande un script de vérification, sous conditions particulières, sans expliquer pleinement la situation, et le script serait incomplet.
Techniquement, la faille provient d’un dépassement mémoire déclenché par un certificat client fourni par l’attaquant, envoyé au point de terminaison /cgi/api/login des appliances NetScaler. En multipliant les requêtes (centaines), l’attaquant peut corrompre la mémoire et obtenir une exécution de code. Des webshells et autres implants ont été déployés pour assurer une persistance post‑patch. Le NCSC NL indique que des traces ont été effacées par l’attaquant, compliquant les investigations, et que plusieurs organisations critiques aux Pays‑Bas ont été touchées.
🕵️ Chasse et détection (extraits de l’article) :
- Surveiller les requêtes web vers /cgi/api/login sur les NetScaler exposés ; elles apparaissent comme de grosses requêtes POST et sont peu susceptibles d’être légitimes.
- Repérer des séries de requêtes en rafale et des entrées de logs avec le code d’erreur 1245184 (certificat client invalide) au même moment.
- Exécuter le script de détection recommandé pour identifier des coredumps ; si un coredump aligne avec des requêtes /cgi/api/login, c’est un indice d’exploitation.
- Analyser les coredumps avec un second script et/ou des strings puis comparer aux modèles YARA fournis dans le dépôt mentionné.
🔗 Contexte de menace lié : le même acteur a également exploité CVE‑2025‑5777 (CitrixBleed 2) pour dérober des sessions utilisateur. Il est en cours d’investigation s’il s’agit aussi du même acteur pour CVE‑2025‑7775. Pour les systèmes suspectés compromis, l’article relaie les mesures suivantes : éteindre l’appliance, l’imager et mener des forensics (ex. outils Citrix ou dépôt NCSC‑NL), changer les identifiants du compte de service LDAP (utilisés pour la mouvance latérale vers Active Directory), puis déployer une nouvelle instance avec nouveaux identifiants.
🚨 IoCs et ressources:
- IP observées (liste non exhaustive): 91.107.190.236; 88.119.169.150; 38.60.245.99; 101.99.91.107; 84.55.67.133; 194.36.37.5
- VirusTotal collection: https://www.virustotal.com/gui/collection/ea8804dc4417e62d7f0f254e2d443da00d3b3bf12d7bbe5978fc011b98be2d32/iocs
- Dépôt NCSC‑NL (examens d’images disque): https://github.com/NCSC-NL/citrix-2025/tree/main/disk-image-checks
Il s’agit d’une analyse de menace visant à dévoiler l’ampleur de l’exploitation de CVE‑2025‑6543, partager des IoCs, des TTPs et des pistes de détection/forensique pour aider les défenseurs.
🧠 TTPs et IOCs détectés
TTP
[‘Exploitation de vulnérabilité zero-day’, ‘Exécution de code à distance (RCE)’, ‘Dépassement mémoire’, ‘Utilisation de webshells pour persistance’, ‘Effacement de traces’, ‘Mouvance latérale vers Active Directory’, ‘Détection via surveillance des requêtes web’, ‘Analyse de coredumps’, ‘Utilisation de modèles YARA’]
IOC
{‘ip’: [‘91.107.190.236’, ‘88.119.169.150’, ‘38.60.245.99’, ‘101.99.91.107’, ‘84.55.67.133’, ‘194.36.37.5’], ‘hash’: [], ‘domaine’: []}
🔗 Source originale : https://doublepulsar.com/citrix-forgot-to-tell-you-cve-2025-6543-has-been-used-as-a-zero-day-since-may-2025-d76574e2dd2c