Il mondo della sicurezza informatica assiste a un déjà vu inquietante: Citrix si trova nuovamente al centro di una tempesta di vulnerabilità critiche che stanno mettendo in ginocchio migliaia di organizzazioni globali. L'azienda proprietaria dei dispositivi NetScaler ha dovuto rilasciare in emergenza una seconda patch nel giro di pochi giorni, dopo aver scoperto che i criminali informatici stavano già sfruttando attivamente una falla zero-day nei loro prodotti di rete più diffusi. La situazione ricorda drammaticamente il famigerato "CitrixBleed" del 2023, quando intere infrastrutture aziendali furono compromesse prima che le organizzazioni riuscissero a implementare le necessarie contromisure.
Una vulnerabilità da incubo già nelle mani dei cybercriminali
La nuova vulnerabilità CVE-2025-6543 ha ottenuto un punteggio di gravità di 9.2 sulla scala CVSS, un valore che la colloca tra le minacce più severe dell'anno. Si tratta di un overflow di memoria che può causare un controllo del flusso non intenzionale e attacchi denial of service quando i dispositivi di sicurezza sono configurati come server virtuali gateway o AAA (authentication, authorization, and accounting). Ma la vera notizia è che i malintenzionati l'hanno già individuata e sfruttata prima che Citrix riuscisse a rilasciare la correzione.
"Gli exploit di CVE-2025-6543 su dispositivi non protetti sono stati osservati", conferma il bollettino di sicurezza dell'azienda, senza fornire ulteriori dettagli sul numero di dispositivi compromessi o sulle azioni intraprese dagli intrusi.
L'analisi degli esperti: molto più di un semplice DoS
Benjamin Harris, CEO di watchTowr, offre una lettura preoccupante della situazione. Secondo l'esperto, il punteggio CVSS di 9.2 e il fatto che sia stata sfruttata come zero-day indicano chiaramente che i criminali stanno facendo molto più di semplici attacchi denial-of-service. "Le metriche CVSS riflettono esecuzione di codice o simili, non DoS come risultato più impattante", spiega Harris. "I dispositivi vulnerabili che vengono osservati entrare in una 'condizione di denial of service' probabilmente riflettono tentativi di sfruttamento falliti, data la classe di vulnerabilità di cui stiamo discutendo".
La situazione diventa ancora più allarmante quando Harris descrive quello che il suo team ha osservato con altre vulnerabilità sfruttate in natura di recente: "La realtà è, sfortunatamente, miserabile. I dispositivi vulnerabili in questo momento potrebbero già essere backdoorati, e l'applicazione di patch tipicamente non ha rimosso le backdoor".
Un catalogo di prodotti a rischio
L'elenco dei prodotti interessati dalla vulnerabilità è esteso e include alcune delle versioni più diffuse negli ambienti enterprise. Sono colpiti NetScaler ADC e NetScaler Gateway 14.1 precedenti alla versione 14.1-47.46, le versioni 13.1 precedenti alla 13.1-59.19, e NetScaler ADC 13.1-FIPS e NDcPP precedenti alla 13.1-37.236-FIPS e NDcPP. Particolarmente preoccupante è il fatto che anche le versioni end-of-life 12.1 e 13.0 siano vulnerabili, creando un problema per le organizzazioni che non hanno ancora aggiornato i loro sistemi legacy.
La seconda vulnerabilità: un'altra bomba a orologeria
Come se non bastasse, Citrix deve fare i conti anche con CVE-2025-5777, un'altra vulnerabilità critica che colpisce gli stessi prodotti e può essere sfruttata remotamente senza autenticazione. Questa falla potrebbe consentire a un attaccante di leggere token di sessione o altre informazioni sensibili dalla memoria dei dispositivi NetScaler configurati come server virtuali gateway o AAA, in uno scenario molto simile al CitrixBleed originale del 2023.
Charles Carmakal, Chief Technology Officer di Mandiant Consulting, ha sottolineato su LinkedIn l'importanza di non commettere gli stessi errori del passato. Per prevenire lo sfruttamento di CVE-2025-5777, le organizzazioni devono non solo aggiornare il software NetScaler, ma anche terminare tutte le sessioni ICA e PCoIP attive dopo l'aggiornamento.
Le lezioni non apprese del passato
Carmakal ricorda un dettaglio cruciale spesso trascurato: "Molte organizzazioni non hanno terminato le sessioni quando hanno rimediato a una vulnerabilità simile nel 2023 (CVE-2023-4966 aka 'Citrix Bleed'). In quei casi, i segreti di sessione sono stati rubati prima che le aziende applicassero la patch, e le sessioni sono state dirottate dopo la patch". Il risultato? Molti di quei compromessi si sono tradotti in spionaggio di stati nazionali o distribuzione di ransomware.
Anche se al momento non ci sono indicazioni che CVE-2025-5777 sia sotto sfruttamento attivo, Harris aveva avvertito che "lo sfruttamento in natura accadrà a un certo punto, e le organizzazioni dovrebbero trattare questo come un incidente IT - lo sfruttamento non è una questione di se, ma di quando". Una profezia che, alla luce degli eventi recenti, suona più come un monito che come una semplice previsione.