-
09/04/2020
-
110
-
1.030 bài viết
Tin tặc khai thác lỗ hổng CVE-2025-6543 trong Citrix NetScaler, đe dọa hạ tầng trọng yếu
Trung tâm An ninh mạng Quốc gia Hà Lan (NCSC-NL) vừa phát đi cảnh báo khẩn về các cuộc tấn công mạng nhắm vào lỗ hổng bảo mật nghiêm trọng CVE-2025-6543 trong sản phẩm Citrix NetScaler ADC. Vụ việc đã ảnh hưởng tới nhiều tổ chức thuộc các lĩnh vực trọng yếu tại Hà Lan và có thể là dấu hiệu cho thấy một chiến dịch tấn công tinh vi đang diễn ra trên phạm vi rộng.
Lỗ hổng CVE-2025-6543 được đánh giá ở mức nghiêm trọng với điểm CVSS 9,2 có thể gây ra lỗi điều khiển luồng xử lý (unintended control flow) và tấn công từ chối dịch vụ khi thiết bị Citrix NetScaler được cấu hình ở chế độ Gateway (VPN, ICA Proxy, CVPN, RDP Proxy) hoặc AAA virtual server.
Các phiên bản bị ảnh hưởng bao gồm: NetScaler ADC & Gateway 14.1 trước 14.1-47.46, NetScaler ADC & Gateway 13.1 trước 13.1-59.19 và NetScaler ADC 13.1-FIPS cùng NDcPP trước 13.1-37.236-FIPS và NDcPP.
Theo Trung tâm An ninh mạng Quốc gia Hà Lan (NCSC-NL), lỗ hổng này đã bị khai thác dưới dạng zero-day từ đầu tháng 5/2025, tức gần hai tháng trước khi được công bố chính thức vào cuối tháng 6/2025. Nhóm tin tặc, được cho là có kỹ năng tinh vi đã chủ động xóa dấu vết nhằm che giấu sự xâm nhập. Trong quá trình điều tra, đến ngày 16/7/2025, NCSC-NL phát hiện một web shell đã được cài vào thiết bị Citrix, cho phép kẻ tấn công truy cập và kiểm soát hệ thống từ xa.
NCSC-NL khuyến cáo các tổ chức cần ngay lập tức cập nhật thiết bị lên phiên bản vá mới nhất để ngăn chặn lỗ hổng. Sau khi nâng cấp, nên chấm dứt toàn bộ các phiên làm việc đang hoạt động bằng cách chạy các lệnh kill icaconnection -all, kill pcoipConnection -all, kill aaa session -all, kill rdp connection -all và clear lb persistentSessions.
Bên cạnh đó, tổ chức nên sử dụng script do NCSC-NL cung cấp để rà soát các dấu hiệu bị xâm nhập, đồng thời kiểm tra kỹ hệ thống nhằm phát hiện các tệp .php bất thường trong thư mục hệ thống NetScaler hoặc các tài khoản mới được tạo, đặc biệt là những tài khoản có quyền quản trị cao.
Vụ khai thác CVE-2025-6543 cho thấy nguy cơ từ các lỗ hổng zero-day vẫn là một trong những mối đe dọa lớn nhất đối với hạ tầng CNTT của các tổ chức. Các doanh nghiệp tại Việt Nam không nên chủ quan, đặc biệt trong tài chính, viễn thông và dịch vụ công, cần chủ động rà soát thiết bị Citrix, cập nhật bản vá và triển khai giám sát an ninh liên tục.
Lỗ hổng CVE-2025-6543 được đánh giá ở mức nghiêm trọng với điểm CVSS 9,2 có thể gây ra lỗi điều khiển luồng xử lý (unintended control flow) và tấn công từ chối dịch vụ khi thiết bị Citrix NetScaler được cấu hình ở chế độ Gateway (VPN, ICA Proxy, CVPN, RDP Proxy) hoặc AAA virtual server.
Các phiên bản bị ảnh hưởng bao gồm: NetScaler ADC & Gateway 14.1 trước 14.1-47.46, NetScaler ADC & Gateway 13.1 trước 13.1-59.19 và NetScaler ADC 13.1-FIPS cùng NDcPP trước 13.1-37.236-FIPS và NDcPP.
Theo Trung tâm An ninh mạng Quốc gia Hà Lan (NCSC-NL), lỗ hổng này đã bị khai thác dưới dạng zero-day từ đầu tháng 5/2025, tức gần hai tháng trước khi được công bố chính thức vào cuối tháng 6/2025. Nhóm tin tặc, được cho là có kỹ năng tinh vi đã chủ động xóa dấu vết nhằm che giấu sự xâm nhập. Trong quá trình điều tra, đến ngày 16/7/2025, NCSC-NL phát hiện một web shell đã được cài vào thiết bị Citrix, cho phép kẻ tấn công truy cập và kiểm soát hệ thống từ xa.
NCSC-NL khuyến cáo các tổ chức cần ngay lập tức cập nhật thiết bị lên phiên bản vá mới nhất để ngăn chặn lỗ hổng. Sau khi nâng cấp, nên chấm dứt toàn bộ các phiên làm việc đang hoạt động bằng cách chạy các lệnh kill icaconnection -all, kill pcoipConnection -all, kill aaa session -all, kill rdp connection -all và clear lb persistentSessions.
Bên cạnh đó, tổ chức nên sử dụng script do NCSC-NL cung cấp để rà soát các dấu hiệu bị xâm nhập, đồng thời kiểm tra kỹ hệ thống nhằm phát hiện các tệp .php bất thường trong thư mục hệ thống NetScaler hoặc các tài khoản mới được tạo, đặc biệt là những tài khoản có quyền quản trị cao.
Vụ khai thác CVE-2025-6543 cho thấy nguy cơ từ các lỗ hổng zero-day vẫn là một trong những mối đe dọa lớn nhất đối với hạ tầng CNTT của các tổ chức. Các doanh nghiệp tại Việt Nam không nên chủ quan, đặc biệt trong tài chính, viễn thông và dịch vụ công, cần chủ động rà soát thiết bị Citrix, cập nhật bản vá và triển khai giám sát an ninh liên tục.
Theo The Hacker News