Fortiguard Labs a signalé un pic dramatique dans les tentatives d’exploitation ciblant Citrix Bleed 2, un défaut de tampon critique sur tampon (CVE – 2025‑5777) affectant Citrix NetScaler ADC (contrôleur de livraison d’application) et les périphériques de passerelle.
Depuis le 28 juillet 2025, ils ont détecté plus de 6 000 tentatives d’exploitation, principalement aux États-Unis, en Australie, en Allemagne et au Royaume-Uni, «avec des adversaires se concentrant principalement sur des secteurs de grande valeur tels que la technologie, la banque, les soins de santé et l’éducation».
Pendant ce temps, le National National Cyber Security Center (NCSC – NL) a confirmé qu’une autre vulnérabilité ADC NetScaler (CVE-2025‑6543) – corrigé et divulgué par Citrix fin juin 2025 – a été exploité comme une vulnérabilité nul zéro depuis le début de mai 2025 dans des attaques sophistiquées contre des organisations néerlandais critiques.
CVE-2025‑6543 actif et CVE – 2025‑5777
Lorsque Citrix a publié des correctifs pour CVE – 2025‑6543 le 25 juin, il a immédiatement confirmé que «les exploits de CVE-2025-6543 sur des appareils non ititiqués ont été observés», mais n’a pas expliqué ce pour quoi les attaquants l’utilisaient.
La description de la faille indique que c’est une vulnérabilité de débordement de mémoire qui peut conduire à un «flux de contrôle involontaire et à un déni de service» dans NetScaler ADC et NetScaler Gateway lorsqu’il est configuré comme Gateway ou AAA Virtual Server.
La dernière mise à jour de NCSC-NL sur les attaques indique qu’elles étaient sophistiquées et que les attaquants ont travaillé sur l’effacement des traces pour cacher le compromis et rendre une enquête médicale difficile.
“Citrix a publié des mises à jour pour aborder la vulnérabilité. Les systèmes de mise à jour ne sont pas suffisants pour éliminer le risque d’exploitation”, a souligné le NCSC-NL. La réinitialisation des séances établies est également requise.
«Le NCSC étudie activement les vulnérabilités dans Citrix NetScaler ADC et NetScaler Gateway, plusieurs enquêtes sont actuellement en cours dans la portée, la nature et l’impact des attaques. Parallèlement aux organisations affectées, aux organisations de réponse aux incidents et aux partenaires de sécurité, nous continuons à découvrir de nouveaux indicateurs, ce que nous utilisons pour aider d’autres organisations à Netherlands menant leurs propres recherches», a déclaré le NCSC à NCSC.
Les organisations travaillent à la mise à jour d’un script que les organisations peuvent utiliser pour vérifier leurs systèmes pour la présence d’indicateurs de compromis, et a conseillé aux organisations qui les découvrent de contacter leur entité nationale de réponse aux incidents de cybersécurité (CSIRT) pour une assistance supplémentaire pour l’enquête et le nettoyage.
NCSC-NL n’a identifié aucune des entités touchées, mais nous en savons une: le service public du pays a confirmé qu’il avait été récemment violé par des systèmes Citrix, bien qu’ils n’aient pas précisé si le CVE-2025‑5777 ou le CVE-2025‑6543 avait été utilisé.
La Fondation ShadowServer dit que les tentatives d’exploitation voient liées aux deux vulnérabilités dans leurs capteurs, et qu’il existe encore plusieurs milliers d’appareils Citrix NetScaler non corrigées probablement vulnérables à CVE-2025-5777 et CVE-2025-6543.
Abonnez-vous à notre alerte e-mail de Breaking News pour ne jamais manquer les dernières violations, vulnérabilités et menaces de cybersécurité. Abonnez-vous ici!
