NCSC ของเนเธอร์แลนด์ยืนยันว่าช่องโหว่ด้านความปลอดภัยระดับ Critical ของ Citrix NetScaler CVE-2025-6543 กำลังถูกนำไปใช้ในการโจมตีอย่างกว้างขวาง

ศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติของเนเธอร์แลนด์ (NCSC-NL) ได้ออกคำเตือนเกี่ยวกับการโจมตีทางไซเบอร์ที่กำลังใช้ประโยชน์จากช่องโหว่ระดับ Critical ที่เพิ่งถูกเปิดเผยไม่นานนี้ ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ Citrix NetScaler ADC และกำลังถูกใช้เพื่อโจมตีองค์กรต่าง ๆ ในประเทศ

ทาง NCSC-NL ระบุว่า พบการโจมตีโดยใช้ประโยชน์จากช่องโหว่ CVE-2025-6543 ในการโจมตีองค์กรสำคัญหลายแห่งในเนเธอร์แลนด์ และอยู่ในระหว่างการสอบสวนเพื่อประเมินขอบเขตของผลกระทบที่เกิดขึ้น

ช่องโหว่ CVE-2025-6543 (คะแนน CVSS 9.2) เป็นช่องโหว่ระดับ Critical ใน NetScaler ADC ซึ่งก่อให้เกิด unintended control flow และการโจมตีแบบ Denial of Service (DoS) เมื่ออุปกรณ์ถูกตั้งค่าให้เป็นเกตเวย์ (เซิร์ฟเวอร์ VPN, ICA Proxy, CVPN, RDP Proxy) หรือ AAA virtual server

ช่องโหว่นี้ถูกเปิดเผยครั้งแรกในช่วงปลายเดือนมิถุนายน 2025 โดยมีการเผยแพร่แพตช์ในเวอร์ชันต่อไปนี้

  • NetScaler ADC and NetScaler Gateway 14.1 prior to 14.1-47.46
  • NetScaler ADC and NetScaler Gateway 13.1 prior to 13.1-59.19
  • NetScaler ADC 13.1-FIPS and NDcPP prior to 13.1-37.236-FIPS and NDcPP

วันที่ 30 มิถุนายน 2025 สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานแห่งสหรัฐอเมริกา (CISA) ได้มีการเพิ่ม CVE-2025-6543 ลงใน Known Exploited Vulnerabilities (KEV) catalog โดยช่องโหว่อีกรายการในผลิตภัณฑ์เดียวกัน (CVE-2025-5777, คะแนน CVSS: 9.3) ก็ถูกเพิ่มเข้าไปในรายการเมื่อเดือนที่แล้วเช่นกัน

NCSC-NL อธิบายว่า การโจมตีนี้น่าจะเป็นฝีมือของกลุ่มผู้โจมตีที่มีความเชี่ยวชาญสูง และระบุว่าช่องโหว่นี้ถูกใช้โจมตีในลักษณะ zero-day มาตั้งแต่ต้นเดือนพฤษภาคม 2025 ก่อนที่จะถูกเปิดเผยต่อสาธารณะใน 2 เดือนก่อนหน้านี้ โดยผู้โจมตีได้ดำเนินการลบหลักฐานเพื่อปกปิดร่องรอยการโจมตีดังกล่าว ซึ่งถูกค้นพบเมื่อวันที่ 16 กรกฎาคม 2025

หน่วยงานระบุว่า "ระหว่างการสอบสวน พบโค้ดที่เป็นเว็บเชลล์อันตรายอยู่บนอุปกรณ์ Citrix โดยเว็บเชลล์คือโค้ดที่แฮ็กเกอร์วางไว้เพื่อเข้าถึงระบบจากระยะไกลได้โดยอาศัยช่องโหว่ของระบบ"

คำแนะนำเพื่อลดความเสี่ยงที่เกิดจาก CVE-2025-6543 องค์กรต่าง ๆ ควรอัปเดตเวอร์ชันล่าสุด และหยุดการทำงานของเซสชันที่ยังคงทำงานอยู่ทั้งหมดโดยใช้คำสั่งต่อไปนี้

kill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessions

นอกจากนี้ องค์กรสามารถรัน shell script ที่ NCSC-NL จัดเตรียมไว้ เพื่อค้นหาร่องรอยการบุกรุกที่เกี่ยวข้องกับช่องโหว่ CVE-2025-6543

ทาง NCSC-NL ระบุว่า หากพบไฟล์ที่มีนามสกุล .php แปลก ๆ ในโฟลเดอร์ระบบของ Citrix NetScaler อาจเป็นสัญญาณของการถูกโจมตี ให้ดำเนินการตรวจสอบบัญชีผู้ใช้งานที่ถูกสร้างขึ้นใหม่บน NetScaler โดยเฉพาะอย่างยิ่งบัญชีที่มีสิทธิ์ระดับสูง

ที่มา: thehackernews