Audiencia
Esta alerta está destinada a ÉL profesionales y gerentes de organizaciones notificadas.
Objetivo
Se utiliza una alerta para crear conciencia sobre una amenaza cibernética recientemente identificada que puede afectar los activos de información cibernética y para proporcionar asesoramiento adicional de detección y mitigación a los destinatarios. El Centro Canadiense de Seguridad Cibernética («Cyber Center») también está disponible para proporcionar asistencia adicional con respecto al contenido de esta alerta a los destinatarios según lo solicitado.
Detalles
El 17 y 25 de junio de 2025, Citrix publicó avisos de seguridad para vulnerabilidades críticas, CVE-2025-5349, CVE-2025-5777 y CVE-2025-6543, que afectan los siguientes productos.Nota 1Nota 2:
NetScaler ADC 12.1-FIPS-Versiones anteriores a 12.1-55.328-FIPS
NetScaler ADC y Netscaler Gateway 14.1-Versiones anteriores al 14.1-47.46
NetScaler ADC y Netscaler Gateway 13.1-Versiones anteriores al 13.1-59.19
NetScaler ADC 13.1-FIPS y NDCPP-Versiones anteriores al 13.1-37.236-FIPS y NDCPP
Las versiones Netscaler ADC y Netscaler Gateway 12.1 y 13.0 ahora son al final de la vida (EOL) y ya no son compatibles.
Para CVE-2025-5777 y CVE-2025-6543: NetScaler debe configurarse como puerta de enlace (VPN Virtual Server, ICA proxy, CVPN, RDP proxy) o servidor virtual AAA para que estas vulnerabilidades se exploten.
Para CVE-2025-5349: un control de acceso incorrecto configurado en la interfaz de administración de NetScaler conduciría a un acceso a NSIP, a la IP de administración de clúster y a la IP del sitio GSLB local.
Citrix informa que se ha observado la explotación de CVE-2025-6543 contra los electrodomésticos no mitigados. En respuesta a estas vulnerabilidades, el Cyber Center lanzó AV25-350 el 17 de junioNota 3 y AV25-374 el 25 de junio de 2025Nota 4.
El Cyber Center es consciente de los intereses y especulaciones en línea sobre estas vulnerabilidades y está publicando esta alerta de una gran precaución.
Acciones sugeridas
El Cyber Center recomienda encarecidamente que las organizaciones que usan Citrix Netscaler ADC y electrodomésticos de Netscaler Review The Citrix Security BulletinsNota 1Nota 2 y actualizar o actualizar los sistemas afectados a las siguientes versiones:
NetScaler ADC y Netscaler Gateway 14.1-47.46 y más tarde.
NetScaler ADC y Netscaler Gateway 13.1-59.19 y luego lanzamientos de 13.1.
NetScaler ADC 13.1-FIPS y 13.1-NDCPP 13.1-37.236 y lanzamientos posteriores de 13.1-FIPS y 13.1-NDCPP.
Además, el Cyber Center recomienda encarecidamente que las organizaciones revisen e implementen los 10 mejores del Cyber Center ÉL Acciones de seguridadNota 5.
Si se descubre la actividad que coincide con el contenido de esta alerta, se alienta a los destinatarios que informen a través del Mi portal cibernéticoo correo electrónico contact@cyber.gc.ca.
Referencias
Nota al pie 1
Netscaler ADC y Netscaler Gateway Boletín de seguridad para CVE-2025-5349 y CVE-2025-5777
Volver a la nota al pie1 referente
Nota al pie 2
NetScaler ADC y Netscaler Gateway Bulletin para CVE-2025-6543
Volver a la nota al pie2 referente
Nota al pie 3
AV25-350-Aviso de seguridad de Citrix
Volver a la nota al pie3 referente
Nota al pie 4
AV25-374-Aviso de seguridad de Citrix
Volver a la nota al pie4 referente
Nota al pie 5
Top 10 ÉL Acciones de seguridad para proteger las redes e información conectadas a Internet (ITSM.10.089)
Volver a la nota al pie5 referente