Nghiên cứu bảo mật gần đây đã hé lộ những chi tiết đáng báo động về một lỗ hổng CVE nghiêm trọng trên Citrix NetScaler, định danh là CVE-2025-6543. Lỗ hổng này đã bị khai thác tích cực dưới dạng zero-day vulnerability trong nhiều tháng trước khi Citrix phát hành bản vá.

Mặc dù ban đầu Citrix chỉ mô tả đây là một lỗ hổng “từ chối dịch vụ” (denial of service) đơn giản, các cuộc điều tra đã xác nhận đây là một lỗ hổng thực thi mã từ xa (remote code execution) tinh vi. Lỗ hổng này đã làm ảnh hưởng đến các dịch vụ chính phủ và pháp lý trên toàn thế giới.

Phân tích Kỹ thuật về CVE-2025-6543

Phương thức Khai thác và Thời gian Xâm nhập

CVE-2025-6543 cho phép kẻ tấn công thực hiện remote code execution thông qua các cuộc tấn công tràn bộ nhớ (memory overflow). Theo điều tra của NCSC Netherlands, lỗ hổng này đã bị khai thác tích cực từ ít nhất đầu tháng 5 năm 2025.

Citrix chỉ phát hành các bản vá vào ngày 25 tháng 6 năm 2025. Điều này có nghĩa là các tác nhân đe dọa đã có nhiều tháng để khai thác các hệ thống chưa được vá trước khi lỗ hổng CVE này được công khai. Một bài viết chi tiết của Kevin Beaumont tại DoublePulsar đã làm rõ về tình hình này: Citrix Forgot to Tell You: CVE-2025-6543 has been used as a Zero-Day since May 2025.

Kỹ thuật tấn công liên quan đến việc gửi các chứng chỉ máy khách độc hại đến điểm cuối /cgi/api/login của NetScaler. Kẻ tấn công thực hiện hàng trăm yêu cầu POST được thiết kế để ghi đè các khối bộ nhớ và thực thi mã tùy ý.

Tác động và Phạm vi Xâm nhập

Nghiêm trọng hơn, các tác nhân đe dọa đã triển khai các webshell và backdoor dai dẳng. Những công cụ này vẫn hoạt động ngay cả sau khi hệ thống được vá, đảm bảo quyền truy cập liên tục vào các mạng đã bị xâm nhập.

NCSC Netherlands đã báo cáo rằng “một số tổ chức quan trọng ở Hà Lan đã bị tấn công thành công”. Các cuộc điều tra pháp y cho thấy kẻ tấn công đã tích cực xóa dấu vết hoạt động để gây khó khăn cho các nỗ lực ứng phó sự cố. Điều này cho thấy mức độ tinh vi của lỗ hổng CVE này.

Phạm vi của chiến dịch tấn công này đã vượt xa những ước tính ban đầu. Các cơ quan chính phủ, dịch vụ pháp lý và tổ chức hạ tầng quan trọng trên toàn thế giới đã trở thành nạn nhân của những cuộc tấn công này. Nhiều hệ thống bị xâm nhập đã được sử dụng làm điểm khởi đầu cho việc di chuyển ngang (lateral movement) vào môi trường Active Directory. Kẻ tấn công đã lạm dụng thông tin đăng nhập của tài khoản dịch vụ LDAP để mở rộng quyền truy cập mạng của chúng.

Chiến thuật Duy trì Quyền truy cập và Lây lan

Các tác nhân đe dọa dường như đang khai thác đồng thời nhiều lỗ hổng của Citrix. Một trong số đó là CVE-2025-5777 (CitrixBleed 2) để đánh cắp các phiên người dùng và vượt qua xác thực đa yếu tố (MFA).

Sự kết hợp các kỹ thuật này cho phép kẻ tấn công thiết lập quyền kiểm soát sâu rộng và khó bị phát hiện. Việc duy trì các backdoor sau khi vá lỗi là một chiến thuật nguy hiểm. Nó đặt ra thách thức lớn cho công tác khắc phục và xử lý các lỗ hổng CVE tương tự.

Phản ứng của Citrix và Quan ngại về Minh bạch

Phản ứng của Citrix đối với cuộc khủng hoảng này đã vấp phải sự chỉ trích gay gắt từ các chuyên gia bảo mật. Công ty chỉ cung cấp các script phát hiện cho khách hàng theo yêu cầu và dưới những điều kiện hạn chế. Đồng thời, họ đã không truyền đạt đúng mức độ nghiêm trọng và phạm vi thực sự của lỗ hổng CVE này.

Việc thiếu minh bạch này đã khiến khách hàng không thể đánh giá chính xác tình trạng bị xâm nhập của mình hoặc triển khai các biện pháp phòng thủ đầy đủ.

Dữ liệu đo từ xa về an ninh mạng từ Shodan cho thấy các thiết bị NetScaler tiếp xúc với internet đã giảm một nửa kể từ cuối năm 2023. Điều này cho thấy các tổ chức đang dần từ bỏ nền tảng này do những lo ngại về bảo mật liên tục. Hiện tại, nhiều khách hàng đang ngày càng dựa vào các cơ quan an ninh mạng chính phủ và các nhà nghiên cứu độc lập để có được thông tin tình báo về mối đe dọa chính xác hơn là từ chính Citrix.

Hành động Khuyến nghị và Biện pháp Đối phó với Tấn công Mạng

Các tổ chức đang vận hành hệ thống Citrix NetScaler cần hành động ngay lập tức để bảo vệ cơ sở hạ tầng của mình.

Phát hiện Xâm nhập

Các chuyên gia bảo mật khuyến nghị kiểm tra nhật ký truy cập web để tìm các yêu cầu POST đáng ngờ đến các điểm cuối /cgi/api/login. Đặc biệt, cần chú ý đến những yêu cầu đi kèm với mã lỗi 1245184, đây là dấu hiệu của chứng chỉ máy khách không hợp lệ.

Chỉ số thỏa hiệp (IOCs) đáng chú ý bao gồm:

• Yêu cầu POST đáng ngờ đến điểm cuối /cgi/api/login.
• Mã lỗi 1245184 trong nhật ký liên quan đến chứng chỉ máy khách.
• Sự hiện diện của các tệp webshell hoặc backdoor không xác định.
• Hoạt động truy cập không bình thường từ tài khoản dịch vụ LDAP.

Các Bước Ứng phó Khẩn cấp

NCSC Netherlands đã công bố các script phát hiện và công cụ pháp y toàn diện trên GitHub. Những tài nguyên này giúp các tổ chức xác định các chỉ số xâm nhập và tiến hành ứng phó sự cố một cách thích hợp với lỗ hổng CVE.

Các tổ chức phát hiện dấu hiệu khai thác nên thực hiện ngay các bước sau:

• Tắt nguồn ngay lập tức các thiết bị NetScaler bị ảnh hưởng.
• Tiến hành tạo ảnh pháp y (forensic imaging) cho các thiết bị để bảo toàn bằng chứng.
• Thay đổi tất cả thông tin đăng nhập của tài khoản dịch vụ LDAP liên quan.
• Triển khai các hệ thống thay thế với thông tin đăng nhập mới, đảm bảo an toàn.

Vấn đề Hệ thống và Tương lai của Nền tảng

Cuộc khủng hoảng này nêu bật các vấn đề hệ thống rộng lớn hơn với bảo mật của NetScaler. Nền tảng này đã phải hứng chịu nhiều cuộc tấn công zero-day exploit trong những tháng gần đây, cho thấy một mô hình đáng lo ngại.

Một phân tích chuyên sâu hơn về các lỗ hổng cũ của NetScaler cho thấy kiến trúc mạng của chúng. Cụ thể, nó là một mã nhị phân lớn được viết bằng C, chạy hiệu quả trong không gian kernel. Điều đáng báo động là nó thiếu các biện pháp bảo vệ hiện đại như ASLR (Address Space Layout Randomization) và DEP (Data Execution Prevention), đồng thời có ngăn xếp thực thi (executable stack). Điều này khiến việc khai thác trở nên dễ dàng như tấn công vào những năm 1990.

Với việc các tác nhân đe dọa “liên tục vượt qua sản phẩm” và Citrix không cung cấp sự minh bạch đầy đủ, các tổ chức có thể cần xem xét các giải pháp truy cập từ xa thay thế. Điều này là cần thiết để bảo vệ cơ sở hạ tầng quan trọng của họ khỏi các cuộc tấn công liên tục, đặc biệt là trước những lỗ hổng CVE chưa được biết đến.