Gli hacker erano già dentro l'ufficio: Perché gli utenti di Citrix devono agire ora

Di Max van der Linden, Senior Security Specialist

Immagini l'edificio del suo ufficio. La porta d'ingresso ha una serratura elettronica e una guardia di sicurezza alla scrivania. Tutti i dipendenti passano il badge, i visitatori fanno il check-in e tutto sembra sicuro.

Ma mesi fa, qualcuno ha scoperto una vulnerabilità nella serratura della porta d'ingresso. Permettendo loro di entrare e uscire liberamente dall'edificio. Mentre erano all'interno, hanno avuto la possibilità di costruire tunnel segreti che conducono al seminterrato, hanno aperto una finestra laterale nell'ufficio di sicurezza e forse hanno anche piazzato dei microfoni nelle sale riunioni.

Questo è ciò che sta accadendo in questo momento con i dispositivi Citrix NetScaler.

L'intrusione

Il suo NetScaler è la porta d'ingresso sicura per i dipendenti che accedono da remoto. Dovrebbe essere l'unico modo sicuro per entrare nell'edificio dall'esterno.

La vulnerabilità CVE-2025-6543 è un problema con la serratura che consente agli aggressori di entrare senza strisciare il badge.

Questo rende possibile:

• Installare web shell, che è come costruire un tunnel segreto nel caso in cui la serratura venga riparata ma l'aggressore voglia comunque entrare.
• Cancellare i registri dei visitatori, in modo che la sicurezza non sappia che sono stati lì.

Inoltre, ci sono altri problemi che sono stati risolti di recente:

• CVE-2025-5777 è come avere uno schedario nascosto nell'atrio che fa trapelare appunti di riunioni private e chiavi master a chiunque sappia dove guardare.
• CVE-2025-5349 è come lasciare la porta della sala di controllo aperta, in modo che chiunque possa intrufolarsi e manomettere i sistemi dell'edificio.

Ecco il problema

Citrix ha sostituito la serratura difettosa, ha rimosso lo schedario e ha chiuso di nuovo la porta della sala di controllo, ma un aggressore avrebbe potuto entrare mesi prima.

Anche se la serratura è stata sostituita il primo giorno della riparazione, i tunnel, le entrate nascoste e le finestre sbloccate potrebbero essere ancora lì.

Cosa bisogna fare

1. Sostituire la serratura anteriore

Installi gli ultimi aggiornamenti di sicurezza di Citrix. Se la sua porta d'ingresso ha ancora la vecchia serratura, gli intrusi possono ancora entrare.

2. Sgomberare l'edificio

Costringa tutti a lasciare l'edificio e faccia loro mostrare il badge d'ingresso se vogliono rientrare. In NetScaler, questo significa correre:

kill icaconnection -all
uccidi pcoipConnection - tutti
uccidi sessione aaa -tutti
uccidi connessione rdp -tutti
cancellare lb persistentSessions

3. Cercare tunnel e accessi nascosti

• Utilizzi gli strumenti di scansione dell'NCSC olandese per trovare i file e le backdoor: https://github.com/NCSC-NL/citrix-2025
• Controlli ogni "piano" (directory di sistema) per trovare cose che non dovrebbero essere presenti.
• Cerchi nuove "chiavi master" (account di amministrazione) che non sono state rilasciate.

4. Cambiare tutte le chiavi e i codici di allarme

• Reimpostare tutte le password di amministrazione
• Riemettere i token e i certificati VPN

5. Proteggere la sala di controllo

• Mantenga il pannello di gestione NetScaler lontano da Internet.
• Consentire l'accesso solo da un piccolo elenco di origini attendibili (indirizzi IP).

6. Sorvegliare le telecamere

• Attivare la registrazione completa
• Osservare gli insoliti passaggi di badge (login), gli orari strani o le modifiche ai sistemi dell'edificio.

Se si imbatte in un comportamento insolito, scopre un tunnel nascosto o ha bisogno di assistenza. Contatti i nostri rappresentanti commerciali all'indirizzo cybersecurity@bureauveritas.com.

La vera lezione

Non si tratta solo di cambiare la serratura della porta d'ingresso. Si tratta di trovare e chiudere ogni ingresso segreto lasciato dall'intruso. Se si limita a cambiare la serratura e se ne va, potrebbe ancora avere qualcuno nel seminterrato, collegato al suo impianto elettrico, in attesa del momento giusto per colpire.

FONTI:

https://thehackernews.com/2025/08/dutch-ncsc-confirms-active-exploitation.html
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420&artic%5B%E2%80%A6%5Dteway_Security_Bulletin_for_CVE_2025_5349_and_CVE_2025_5777=