Threat Response - Critical Vulnerabilities in Citrix NetScaler ADC & NetScaler Gateway
Dutch follows English
On 17 June 2025, Citrix published an advisory regarding two vulnerabilities [1]. Two critical vulnerabilities in NetScaler ADC and NetScaler Gateway appliances allow attackers to gain unauthorized access to certain parts of the system and lead to an Out-of-bounds Read. We find it likely that these vulnerabilities will be abused in the short term. Immediate patching and terminating all active ICA and PCoIP sessions is required. The NCSC describes these vulnerabilities as NCSC-2025-0196 [2].
Description
The vulnerability tracked as CVE-2025-5777 (CVSS 9.3) is caused by insufficient input validation in systems that are configured as Gateway services including VPN virtual servers, ICA Proxy, Citrix Virtual Private Network (CVPN), Remote Desktop Protocol (RDP) Proxy and AAA servers and can lead to an Out-of-bounds Read. This vulnerability can therefore be exploited remotely by an attacker without prior authentication.
The vulnerability tracked as CVE-2025-5349 (CVSS 8.7) concerns an issue with improper access control on the NetScaler Management Interface. Attackers can abuse the vulnerability to gain unauthorized access to certain parts of the system such as the Network Services IP (NSIP), the Cluster Management IP, or the local Global Server Load Balancing (GSLB) Site IP. To exploit this vulnerability, it is necessary for an attacker to have access to the NSIP address, the Cluster Management IP or the local GSLB Site IP.
The following versions of NetScaler ADC and NetScaler Gateway are affected by the vulnerabilities:
-
NetScaler ADC and NetScaler Gateway 14.1 before 14.1-43.56
-
NetScaler ADC and NetScaler Gateway 13.1 before 13.1-58.32
-
NetScaler ADC 13.1-FIPS and NDcPP before13.1-37.235-FIPS and NDcPP
-
NetScaler ADC 12.1-FIPS before 12.1-55.328-FIPS
NetScaler ADC and NetScaler Gateway versions 12.1 and 13.0 are also vulnerable. Note that these systems are End of Life (EOL) and you are advised to update to a supported version.
Impact
We estimate the impact of these vulnerabilities as high, because these vulnerabilities make it possible for an attacker to gain unauthenticated access to parts of the system.
Risk
We estimate the risk of these vulnerabilities as high, because of the popularity of these NetScaler Gateway and NetScaler ADC and the widespread usage of these applicances. At this time there are no indications that the vulnerabilities are actively exploited. Because the information regarding these vulnerabilities is now publicly available, we expect Proof-of-Concept (PoC) exploit code for these vulnerabilities to be published soon.
Mitigation
Customers using NetScaler ADC and NetScaler Gateway are strongly advised to install the relevant updated versions as soon as possible.
-
NetScaler ADC and NetScaler Gateway 14.1-43.56 and later releases
-
NetScaler ADC and NetScaler Gateway 13.1-58.32 and later releases
-
NetScaler ADC 13.1-FIPS and 13.1-NDcPP 13.1-37.235 and later releases of 13.1-FIPS and 13.1-NDcPP
-
NetScaler ADC 12.1-FIPS 12.1-55.328 and later releases of 12.1-FIPS
Citrix also recommends terminating all active ICA and PCoIP sessions after installing the security updates.
kill icaconnection -all
kill pcoipConnection –all
What should you do?
We recommend to update the NetScaler ADC and NetScaler Gateway to one of the versions mentioned above as soon as possible if you use a vulnerable version of the software. Additionally, make sure to terminate all active ICA and PCoIP sessions after installing the security updates.
What will Northwave do?
Vulnerability Management customers will be informed in case vulnerable systems are detected in their infrastructure.
We will monitor any developments regarding this vulnerability. If new critical information about this threat arises we will reach out to you. You can call us by phone or send us an email if you would like additional information.
E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000
Disclaimer applies, see below.
Sources
[1]: https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420
[2]: https://advisories.ncsc.nl/advisory?id=NCSC-2025-0196
Beste lezer,
Op 17 juni 2025 heeft Citrix een beveiligingsadvies gepubliceerd over twee kwetsbaarheden [1]. Twee kritieke kwetsbaarheden in NetScaler ADC- en NetScaler Gateway-appliances stellen aanvallers in staat ongeautoriseerde toegang te verkrijgen tot bepaalde delen van het systeem en kunnen leiden tot een out-of-bounds read. Het is waarschijnlijk dat deze kwetsbaarheden op korte termijn zullen worden misbruikt. Direct patchen en het beëindigen van alle actieve ICA- en PCoIP-sessies is vereist. Het NCSC beschrijft deze kwetsbaarheden als NCSC-2025-0196 [2].
Beschrijving
De kwetsbaarheid met het kenmerk CVE-2025-5777 (CVSS 9.3) ontstaat door onvoldoende input validation in systemen die zijn geconfigureerd als Gateway-diensten, waaronder VPN-virtual servers, ICA Proxy, Citrix Virtual Private Network (CVPN), Remote Desktop Protocol (RDP) Proxy en AAA-servers, en kan leiden tot een Out-of-bounds Read. Deze kwetsbaarheid kan daardoor op afstand worden misbruikt door een aanvaller zonder voorafgaande authenticatie.
De kwetsbaarheid met het kenmerk CVE-2025-5349 (CVSS 8.7) betreft een probleem met onjuiste toegangscontrole binnen de NetScaler Management Interface. Aanvallers kunnen deze kwetsbaarheid misbruiken om ongeautoriseerde toegang te krijgen tot bepaalde onderdelen van het systeem, zoals het Network Services IP (NSIP), het Cluster Management IP of het lokale Global Server Load Balancing (GSLB) Site IP. Om deze kwetsbaarheid te kunnen misbruiken, moet een aanvaller toegang hebben tot het NSIP-adres, het Cluster Management IP of het lokale GSLB Site IP.
De volgende versies van NetScaler ADC en NetScaler Gateway zijn kwetsbaar voor de genoemde kwetsbaarheden:
-
NetScaler ADC en NetScaler Gateway 14.1 vóór 14.1-43.56
-
NetScaler ADC en NetScaler Gateway 13.1 vóór 13.1-58.32
-
NetScaler ADC 13.1-FIPS en NDcPP vóór 13.1-37.235-FIPS en NDcPP
-
NetScaler ADC 12.1-FIPS vóór 12.1-55.328-FIPS
Daarnaast zijn NetScaler ADC en NetScaler Gateway versies 12.1 en 13.0 ook kwetsbaar. Let op: deze systemen zijn End of Life (EOL) en het wordt dringend geadviseerd om te updaten naar een ondersteunde versie.
Impact
Wij schatten de impact van deze kwetsbaarheden als hoog in, omdat deze kwetsbaarheden het mogelijk maken voor een aanvaller om zonder authenticatie toegang te krijgen tot delen van het systeem.
Risico
Wij schatten het risico van deze kwetsbaarheden als hoog in, vanwege de populariteit van NetScaler Gateway en NetScaler ADC en het brede gebruik van deze appliances. Op dit moment zijn er geen aanwijzingen dat de kwetsbaarheden actief worden misbruikt. Omdat de informatie over deze kwetsbaarheden nu openbaar beschikbaar is, verwachten wij dat er binnenkort Proof-of-Concept (PoC) exploitcode voor deze kwetsbaarheden zal worden gepubliceerd.
Mitigatie
Klanten die NetScaler ADC en NetScaler Gateway gebruiken, wordt sterk aangeraden om zo snel mogelijk de relevante bijgewerkte versies te installeren.
-
NetScaler ADC en NetScaler Gateway 14.1-43.56 en latere versies
-
NetScaler ADC en NetScaler Gateway 13.1-58.32 en latere versies
-
NetScaler ADC 13.1-FIPS en 13.1-NDcPP 13.1-37.235 en latere versies van 13.1-FIPS en 13.1-NDcPP
-
NetScaler ADC 12.1-FIPS 12.1-55.328 en latere versies van 12.1-FIPS
Citrix adviseert daarnaast om na het installeren van de beveiligingsupdates alle actieve ICA- en PCoIP-sessies te beëindigen.
Wat moet u doen?
Wij raden aan om NetScaler ADC en NetScaler Gateway zo snel mogelijk te patchen naar een van de hierboven genoemde versies als u een kwetsbare versie van de software gebruikt. Zorg er daarnaast voor dat u na het installeren van de beveiligingsupdates alle actieve ICA- en PCoIP-sessies beëindigt.
Wat doet Northwave?
Northwave informeert Vulnerability Management klanten wanneer in hun infrastructuur kwetsbare systemen worden ontdekt.
Northwave houdt de ontwikkelingen omtrent deze kwetsbaarheden in de gaten. Als er belangrijke nieuwe informatie omtrent deze dreiging bekend wordt, stellen wij u hiervan op de hoogte. Als u behoefte heeft aan extra informatie zijn we zowel telefonisch als via email bereikbaar.
E-mail: soc@northwave-cybersecurity.com
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000
Disclaimer is van toepassing, zie onder.
Bronnen
[1]: https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420
[2]: https://advisories.ncsc.nl/advisory?id=NCSC-2025-0196