Les vulnérabilités de Citrix évoquent de pénibles souvenirs

citrix

Citrix est confronté à plusieurs vulnérabilités critiques dans Netscaler ADC et Gateway. Un second débâcle « Citrix Bleed » est-il imminent ?

Le 17 juin, Citrix a communiqué une mise à jour concernant deux vulnérabilités dans Netscaler ADC et Gateway, à savoir CVE-2025-5349 et CVE-2025-5777. Avec des scores CVSS de 8,7 et 9,3, il s’agit de failles de sécurité critiques. Citrix est plutôt avare de détails, mais il s’agit de failles « out-of-bounds » qui exposent la mémoire des serveurs VPN à des personnes qui ne devraient pas y avoir accès.

Dans un véritable style Murphy, une troisième vulnérabilité s’est ajoutée, CVE-2025-6543. Cette vulnérabilité reçoit également un score CVSS élevé (9,2) et ne doit donc pas être prise à la légère. Citrix avertit également que la vulnérabilité est activement exploitée. Il s’agit ici d’un débordement de mémoire qui peut littéralement paralyser les appareils affectés.

Versions affectées et correctifs

Le fait que Citrix communique ouvertement sur les vulnérabilités signifie qu’un correctif est disponible. Les trois vulnérabilités affectent plus ou moins les mêmes versions de Netscaler ADC et Gateway :

  • Version 14.1 (antérieure à 14.1-43.56)
  • Version 13.1 (antérieure à 13.1-58.32)
  • NetScaler ADC 13.1-FIPS (antérieure à 13.1-37.235-FIPS)
  • NetScaler ADC 12.1-FIPS (antérieure à 12.1-55.328-FIPS)

Netscaler ADC 12.1 échappe à CVE-2025-6543. Il est demandé aux clients de mettre à jour leurs appareils Netscaler dès que possible vers les versions entre parenthèses ou plus récentes. Pour une protection complète contre CVE-2025-5349 et CVE-2025-5777, il est recommandé de terminer les connexions actives avec une commande « kill ».

Citrix Bleed 2 ?

Avec un correctif et un avertissement, l’affaire est close pour Citrix. Avez-vous un sentiment de déjà-vu après avoir lu cet article ? Vous n’êtes pas le seul. Le chercheur en sécurité Kevin Beaumont craint un nouveau scénario « Citrix Bleed ».

En 2023, Citrix Netscaler a été massivement attaqué par une faille de type zero-day. Des dizaines de milliers d’organisations ont subi des attaques jusqu’à des mois après la découverte de la faille. Un simple correctif s’est d’ailleurs avéré insuffisant pour résoudre le problème. L’ampleur de ces vulnérabilités n’est pas encore connue, mais ceux qui ont vécu Citrix Bleed il y a deux ans devraient maintenant savoir qu’il faut agir rapidement.