Se você acha que segurança cibernética é só instalar um antivírus e rezar para não ser o próximo alvo, a história de hoje vai te mostrar que não é bem assim. O holandês NCSC (National Cyber Security Centre) confirmou que a vulnerabilidade CVE-2025-6543 no Citrix NetScaler ADC está sendo ativamente explorada e não é contra qualquer um, estamos falando de setores críticos da Holanda.
Essa falha, com pontuação CVSS 9.2 (ou seja, “bem-vindo ao pesadelo dos administradores de rede”), causa um desvio não intencional no fluxo de controle e pode gerar um ataque de negação de serviço (DoS). Na prática, quando um dispositivo está configurado como Gateway ou servidor AAA, ele vira um alvo apetitoso para quem gosta de explorar brechas digitais.
O curioso, ou desesperador é que essa vulnerabilidade foi divulgada oficialmente só no fim de junho de 2025, mas o NCSC descobriu que ela já estava sendo explorada desde o começo de maio. Sim, dois meses de zero-day na rua, sem ninguém saber, enquanto os atacantes trabalhavam discretamente e ainda limpavam os rastros para dificultar a vida dos investigadores.
Segundo o NCSC, durante a investigação, encontraram web shells instalados nos dispositivos Citrix. Em bom português: um código malicioso que dá ao invasor acesso remoto ao sistema. Coloca-se ali explorando a vulnerabilidade, e pronto, é como deixar a chave da sua casa escondida debaixo do tapete só que o ladrão sabe exatamente onde procurar.
A Citrix liberou patches que corrigem a falha nas seguintes versões:
- NetScaler ADC e Gateway 14.1 antes da 14.1-47.46
- NetScaler ADC e Gateway 13.1 antes da 13.1-59.19
- NetScaler ADC 13.1-FIPS e NDcPP antes da 13.1-37.236-FIPS e NDcPP
A CISA (Cybersecurity and Infrastructure Security Agency) dos EUA foi rápida e, já em 30 de junho, colocou o CVE-2025-6543 na lista oficial de vulnerabilidades conhecidas e exploradas. Não foi a primeira vez que o Citrix NetScaler apareceu nessa lista em 2025: o CVE-2025-5777 (CVSS 9.3) já estava lá desde o mês anterior.
E se você acha que tudo isso é exagero, o NCSC garante que não é, os atores por trás desse ataque são sofisticados e meticulosos. O tipo de ameaça que não deixa um log suspeito para contar a história.
Para quem administra Citrix NetScaler, o conselho é simples:
- Atualize imediatamente para a versão corrigida.
- Derrube sessões permanentes e ativas usando comandos como:
kill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessionsO NCSC também disponibilizou um script que ajuda a procurar indicadores de comprometimento. E um detalhe importante: se você encontrar arquivos PHP estranhos nas pastas do sistema ou contas de usuário recém-criadas com privilégios elevados, a festa provavelmente já começou e você nem sabia.
Caros leitores(a) o cenário é claro: enquanto as empresas demoram para aplicar patches, os atacantes aproveitam para instalar seu “quartinho VIP” dentro da sua infraestrutura.
O recado é direto: quem usa Citrix NetScaler não tem tempo para enrolar. Ou corrige agora, ou se prepara para virar estatística na próxima atualização do NCSC.
No fim, essa história reforça um ponto que muitos ainda insistem em ignorar, vulnerabilidades críticas não esperam o melhor momento para atacar.
