{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"NetScaler Gateway versions 14.1.x ant\u00e9rieures \u00e0 14.1-47.46","product":{"name":"NetScaler Gateway","vendor":{"name":"Citrix","scada":false}}},{"description":"NetScaler Gateway versions 13.1.x ant\u00e9rieures \u00e0 13.1-59.19","product":{"name":"NetScaler Gateway","vendor":{"name":"Citrix","scada":false}}},{"description":"NetScaler ADC versions 14.1.x ant\u00e9rieures \u00e0 14.1-47.46","product":{"name":"NetScaler ADC","vendor":{"name":"Citrix","scada":false}}},{"description":"NetScaler ADC versions 13.1.x ant\u00e9rieures \u00e0 13.1-59.19","product":{"name":"NetScaler ADC","vendor":{"name":"Citrix","scada":false}}},{"description":"NetScaler ADC versions 13.1-FIPS et NDcPP  versions ant\u00e9rieures \u00e0 13.1-37.236-FIPS et NDcPP","product":{"name":"NetScaler ADC","vendor":{"name":"Citrix","scada":false}}}],"affected_systems_content":"Les d\u00e9ploiements de Secure Private Access on-prem et Secure Private Access Hybrid utilisant des instances NetScaler sont \u00e9galement affect\u00e9s par cette vuln\u00e9rabilit\u00e9.","closed_at":"2025-08-18","content":"## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des correctifs (cf. section Documentation).\nL'obtention des correctifs 13.1-FIPS et 13.1-NDcPP s'effectue via la page d\u2019assistance de Citrix [1].","cves":[{"name":"CVE-2025-6543","url":"https://www.cve.org/CVERecord?id=CVE-2025-6543"},{"name":"CVE-2025-5777","url":"https://www.cve.org/CVERecord?id=CVE-2025-5777"}],"links":[{"title":"[12] \u00c9valuation des journaux NetScaler pour identifier des tentatives d'exploitation","url":"https://www.netscaler.com/blog/news/evaluating-netscaler-logs-for-indicators-of-attempted-exploitation-of-cve-2025-5777/"},{"title":"Documentation mise \u00e0 jour d'un \u00e9quipement NetScaler 14.1","url":"https://docs.netscaler.com/en-us/citrix-adc/14-1/upgrade-downgrade-citrix-adc-appliance.html"},{"title":"Avis CERT-FR CERTFR-2025-AVI-0528 du 20 juin 2025","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0528/"},{"title":"[4] Comment g\u00e9n\u00e9rer un fichier de support sur ADC","url":"https://support.citrix.com/external/article/472859/how-to-generate-a-support-file-for-adc.html"},{"title":"Documentation mise \u00e0 jour d'un \u00e9quipement NetScaler 13.1","url":"https://docs.netscaler.com/en-us/citrix-adc/13-1/upgrade-downgrade-citrix-adc-appliance.html"},{"title":"[1] Assistance de Citrix","url":"https://support.citrix.com/support-home/home"},{"title":"[7] \u00c0 propos de NetScaler VPX","url":"https://docs.netscaler.com/en-us/vpx/current-release.html"},{"title":"[8] Sauvegarde et restauration des instances NetScaler","url":"https://docs.netscaler.com/en-us/netscaler-application-delivery-management-software/current-release/networks/instance-management/backup-restore-netscaler-instances.html"},{"title":"[6]  Guide effacement des donn\u00e9es de votre NetScaler MPX","url":"https://docs.netscaler.com/en-us/netscaler-hardware-platforms/mpx/wiping-your-data-before-sending-your-adc-appliance-to-netscaler"},{"title":"[2] Lettre d\u2019information de NetScaler : mises \u00e0 jour de s\u00e9curit\u00e9 critique de NetScaler pour les vuln\u00e9rabilit\u00e9s CVE-2025-6543 et CVE-2025-5777","url":"https://www.netscaler.com/blog/news/netscaler-critical-security-updates-for-cve-2025-6543-and-cve-2025-5777/"},{"title":"Avis CERT-FR CERTFR-2025-AVI-0540 du 26 juin 2025","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0540/"},{"title":"[3] Mesures \u00e0 prendre en cas de suspicion de compromission de NetScaler ADC","url":"https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694799"},{"title":"[10] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"},{"title":"[5] Comment g\u00e9n\u00e9rer un Core Dump NSPPE sur NetScaler","url":"https://support.citrix.com/external/article?articleUrl=CTX207598-how-to-generate-nsppe-core-dump-on-netscaler"},{"title":"[11] Bulletin de s\u00e9curit\u00e9 Citrix CTX693420 du 17 juin 2025","url":"https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420"},{"title":"[9] Meilleures pratiques de s\u00e9curit\u00e9 pour NetScaler MPX, VPX et SDX","url":"https://docs.netscaler.com/en-us/netscaler-adc-secure-deployment.html"}],"reference":"CERTFR-2025-ALE-009","revisions":[{"description":"Version initiale","revision_date":"2025-07-01T00:00:00.000000"},{"description":"Ajout de la vuln\u00e9rabilit\u00e9 CVE-2025-5777.","revision_date":"2025-07-07T00:00:00.000000"},{"description":"Ajout d'un lien contenant une m\u00e9thode d'\u00e9valuation pour identifier des tentatives d'exploitation","revision_date":"2025-07-17T00:00:00.000000"},{"description":"    Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2025-08-18T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"},{"description":"Non sp\u00e9cifi\u00e9 par l'\u00e9diteur"}],"summary":"**<span class=\"important-content\">[Mise \u00e0 jour du 17 juillet 2025]</span>**\n\nL'\u00e9diteur a publi\u00e9 un lien contenant une m\u00e9thode d'\u00e9valuation permettant d'identifier des tentatives d'exploitation dans les journaux applicatifs et syst\u00e8mes [12].\n\n**[Mise \u00e0 jour du 7 juillet 2025]**\n\nLe 17 juin 2025, Citrix a publi\u00e9 un bulletin de s\u00e9curit\u00e9 concernant notamment la vuln\u00e9rabilit\u00e9 CVE-2025-5777 [11]. Celle-ci permet \u00e0 un attaquant non authentifi\u00e9 de faire fuiter des portions al\u00e9atoires de la m\u00e9moire de NetScaler ADC et NetScaler Gateway et ainsi potentiellement r\u00e9cup\u00e9rer les informations de connexion d'une session active.\n\nLe 4 juillet 2025, une preuve de concept a \u00e9t\u00e9 publi\u00e9e publiquement. Celle-ci est triviale \u00e0 utiliser et le CERT-FR constate des exploitations actives. <br />\nLa vuln\u00e9rabilit\u00e9 CVE-2025-5777 est exploitable par le biais du formulaire d'authentification.\n\nCitrix recommande l'arr\u00eat de toutes les sessions ICA et PCoIP actives apr\u00e8s l'installation du correctif. Le CERT-FR recommande d'aller plus loin avec l'inspection des sessions actives fra\u00eechement renouvel\u00e9es en ciblant en priorit\u00e9 celles qui proviennent de plusieurs adresses IP. <br />\nDe plus, si le correctif pour la vuln\u00e9rabilit\u00e9 CVE-2025-5777 a \u00e9t\u00e9 install\u00e9 apr\u00e8s la publication de la preuve de concept, le CERT-FR recommande \u00e9galement le renouvellement des mots de passe des utilisateurs.\n\nLes vuln\u00e9rabilit\u00e9s CVE-2025-6543 et CVE-2025-5777 \u00e9tant activement exploit\u00e9es, tout Netscaler expos\u00e9 qui n'aurait pas re\u00e7u les correctifs pour ces deux vuln\u00e9rabilit\u00e9s doit \u00eatre consid\u00e9r\u00e9 comme compromis.\n\n**[Publication initiale]**\n\nLe 25 juin 2025, Citrix a publi\u00e9 un avis de s\u00e9curit\u00e9 concernant la vuln\u00e9rabilit\u00e9 CVE-2025-6543 affectant NetScaler ADC et NetScaler Gateway. L'\u00e9diteur lui a attribu\u00e9 un score CVSS v4.0 de 9,2 et indique qu'elle permet \u00e0 un attaquant de provoquer un d\u00e9bordement de m\u00e9moire entrainant un flux de contr\u00f4le impr\u00e9vu et un d\u00e9ni de service \u00e0 distance. L'\u00e9quipement est vuln\u00e9rable s'il est configur\u00e9 en tant que passerelle (*Gateway : VPN virtual server, ICA Proxy, CVPN, RDP Proxy*) ou en tant que serveur virtuel AAA (*AAA\u202fvirtual\u202fserver*).\n\nCitrix indique que les produits NetScaler ADC et NetScaler Gateway en version 12.1 et 13.0 sont en fin de vie. L'\u00e9diteur recommande aux utilisateurs de migrer vers une version support\u00e9e et \u00e0 jour.\n\nCitrix d\u00e9clare avoir connaissance d'exploitations actives de cette vuln\u00e9rabilit\u00e9.\n\nL'obtention des marqueurs de compromission se fait via la page d\u2019assistance de Citrix [1][2]. NetScaler pr\u00e9conise en particulier de rechercher des arr\u00eats inopin\u00e9s [2]. \n\nEn cas de suspicion de compromission, l'\u00e9diteur recommande [3] :\n* si le NetScaler est une instance virtuelle VPX :\n    * r\u00e9aliser un instantan\u00e9 du syst\u00e8me de fichier et de la m\u00e9moire vive ;\n    * documenter l'heure du syst\u00e8me, les param\u00e8tres du fuseau horaire et la configuration NTP avant l'isolation ;\n* si possible, \u00e9viter d'\u00e9teindre la machine afin de conserver les traces n\u00e9cessaires aux investigations ;\n* g\u00e9n\u00e9rer un fichier de support sur ADC [4] ;\n* g\u00e9n\u00e9rer un Core Dump NSPPE sur NetScaler [5] ;\n*  si le NetScaler est un  \u00e9quipement MPX ou SDX, r\u00e9cup\u00e9rer une image du disque ;\n* isoler totalement la machine concern\u00e9e du r\u00e9seau, vis-\u00e0-vis d'Internet comme du r\u00e9seau interne, afin de limiter les risques de nouvel acc\u00e8s non autoris\u00e9 et de lat\u00e9ralisation ;\n* r\u00e9voquer des informations d'identification et d'acc\u00e8s :\n    * changer les mots de passe et secrets des comptes de service stock\u00e9s sur le NetScaler tel que les comptes de service LDAP, les secrets partag\u00e9s RADIUS, les jetons OAuth, les cl\u00e9s API, les noms de communaut\u00e9 SNMP ;\n    * modifier les comptes utilisateurs susceptibles d'avoir \u00e9t\u00e9 authentifi\u00e9s via la plateforme suspect\u00e9e d'\u00eatre compromise, y compris les serveurs virtuels Gateway ou AAA ;\n    * r\u00e9voquer les certificats et les cl\u00e9s priv\u00e9es associ\u00e9es stock\u00e9es sur la plateforme suspect\u00e9e d'\u00eatre compromise ;\n* examiner tous les serveurs et syst\u00e8mes auxquels l'ADC NetScaler s'est connect\u00e9 pour d\u00e9tecter tout signe de compromission ;\n* si le NetScaler est un \u00e9quipement MPX, se r\u00e9f\u00e9rer au guide pour effacer et r\u00e9installer le MPX [6] ;\n* si le NetScaler est un \u00e9quipement SDX ou une instance virtuelle VPX, se r\u00e9f\u00e9rer au guide pour effacer et r\u00e9installer le SDX ou le VPX [7] ;\n* mettre \u00e0 jour le NetScaler ADC vers la derni\u00e8re version disponible du micrologiciel (*firmware*) avant de restaurer la sauvegarde de la configuration ;\n* restaurer une sauvegarde saine \u00e0 l'aide de la console NetScaler, se r\u00e9f\u00e9rer au guide pour obtenir des instructions d\u00e9taill\u00e9es [8] ;\n* modifier tous les mots de passe des comptes locaux sur le NetScaler ADC ;\n* renouveler les cl\u00e9s de chiffrement (*Key Encryption Keys*) ;\n* supprimer tous les certificats SSL restaur\u00e9s ; \n* remplacer tous les certificats SSL restaur\u00e9s ; \n* pour renforcer le NetScaler ADC, se r\u00e9f\u00e9rer au guide pour obtenir les meilleures pratiques de s\u00e9curit\u00e9 pour NetScaler MPX, VPX et SDX [9].\n\nEn cas de compromission, signaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR en mettant en copie vos \u00e9ventuels CSIRTs m\u00e9tier et consulter les bons r\u00e9flexes en cas d'intrusion sur un syst\u00e8me d'information [10].","title":"Multiples vuln\u00e9rabilit\u00e9s dans Citrix NetScaler ADC et NetScaler Gateway","vendor_advisories":[{"published_at":"2025-06-25","title":"Bulletin de s\u00e9curit\u00e9 Citrix CTX694788","url":"https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788&articleURL=NetScaler_ADC_and_NetScaler_Gateway_Security_Bulletin_for_CVE_2025_6543"}]}