L'éditeur Citrix a corrigé trois vulnérabilités majeures dans NetScaler ADC et Gateway, dont une faille critique activement exploitées par les cybercriminels. Les autorités cyber françaises conseillent aux entreprises de mettre à jour leurs équipements immédiatement.
Citrix a publié, le 26 août et dans l'urgence, des mises à jour de sécurité critiques qui agissent comme correctifs des trois vulnérabilités découvertes dans les solutions NetScaler ADC et NetScaler Gateway. La plus grave, enregistrée CVE-2025-7775 avec un score de criticité de 9,2/10, permet l'exécution de code à distance sans authentification sur les serveurs configurés en passerelle VPN ou système AAA. Le CERT-FR, le centre d'alerte et de réponse aux incidents de l'ANSSI, et Cloud Software Group (Citrix) ont confirmé l'exploitation active de cette faille, qui nécessite une application immédiate des correctifs sur plusieurs versions.
NetScaler, la porte d'entrée des réseaux d'entreprise sous attaque
La vulnérabilité CVE-2025-7775, activement exploitées par les cybercriminels, touche directement les équipements NetScaler, ces boîtiers qui servent de points d'accès sécurisés aux réseaux d'entreprise. Concrètement, elle affecte les serveurs configurés comme passerelles VPN ou systèmes d'authentification, ces portes numériques par lesquelles les employés se connectent à distance. Un pirate peut exploiter un bug de mémoire pour installer ses propres programmes malveillants, sans avoir besoin d'identifiants.
Les chercheurs Jimi Sebree d'Horizon3.ai, Jonathan Hetzer de Schramm & Partner et François Hämmerli, ont chacun collaboré avec Citrix pour identifier ces failles. Leur découverte concerne toutes les versions maintenues de NetScaler, y compris les éditions certifiées FIPS utilisées par les administrations. Les versions 14.1, 13.1 et même 12.1 nécessitent une mise à jour immédiate pour éviter toute intrusion.
L'éditeur reste volontairement discret sur les détails techniques de l'exploitation pour éviter de faciliter le travail des pirates, on peut le comprendre. Cette prudence complique toutefois l'évaluation des risques pour les équipes informatiques. Les administrateurs peuvent vérifier si leurs équipements sont vulnérables en inspectant leur configuration selon les instructions détaillées fournies dans le bulletin officiel de Citrix.
Deux autres failles critiques compliquent la situation des administrateurs
Au-delà de la faille principale, deux autres vulnérabilités méritent attention malgré leur dangerosité moindre. La CVE-2025-7776 peut provoquer l'arrêt brutal des passerelles VPN utilisant le protocole PCoIP, perturbant ainsi l'accès distant des utilisateurs. La CVE-2025-8424 permet quant à elle d'accéder sans autorisation à l'interface d'administration, exposant potentiellement les paramètres sensibles de l'infrastructure réseau.
Les entreprises qui utilisent encore les versions 12.1 et 13.0 de NetScaler se retrouvent dans une situation un poil délicate. Désormais abandonnées par l'éditeur, ces versions ne recevront aucun correctif de sécurité. Les organisations concernées n'ont donc d'autre choix que de migrer rapidement vers des versions plus récentes, une opération complexe qui nécessite planification et tests approfondis avant déploiement.
Le CERT-FR classe cette alerte au niveau critique et demande une intervention immédiate. Les correctifs disponibles portent les numéros 14.1-47.48 pour la branche 14.1, et 13.1-59.22 pour la version 13.1, avec leurs déclinaisons FIPS correspondantes. Au-delà de l'installation des patches, Citrix recommande d'inspecter les logs (si précieux !) système pour détecter d'éventuelles intrusions déjà survenues sur les équipements vulnérables.
