Los investigadores de seguridad han publicado exploits de prueba de concepto para una vulnerabilidad crítica denominada “Citrixbleed2” que afecta a Citrix NetScaler ADC y productos de puerta de enlace.
La vulnerabilidad, rastreada como CVE-2025-5777, permite a los atacantes exfiltrarse hasta 127 bytes de datos confidenciales por solicitud, exponiendo potencialmente tokens de sesión y credenciales de usuarios a través de ataques de divulgación de memoria.
Control de llave
1. CVE-2025-5777 afecta a los sistemas NetScaler de Citrix, lo que permite a los atacantes extraer 127 bytes de datos confidenciales por solicitud a través de la divulgación de memoria.
2. Explotaciones Use solicitudes malformadas a /p/u/doauthentication.do Endpoint, filtración de contenido de memoria, incluidos tokens de sesión y credenciales.
3. Expone tokens “nsroot” administrativos y capturar credenciales de usuarios legítimos que comparten el mismo espacio de memoria.
4. Aplique parches de junio de 2025, termine las sesiones activas, monitoree los registros para anomalías y las configuraciones de auditoría para cambios no autorizados.
Vulnerabilidad de divulgación de memoria
La vulnerabilidad de Citrixbleed2 proviene de la gestión de memoria inadecuada en el motor de análisis de paquetes NetScaler (NSPPE Binary), que maneja las características de la puerta de enlace NetScaler y los mecanismos de autenticación AAA.
El análisis de investigación de las diferencias de parche reveló nuevas secciones de limpieza que cero los amortiguadores y las regiones de memoria relacionadas con los datos de solicitud de HTTP antes de reutilizarlos.
Según Horizon3.ai InformeLa vulnerabilidad se dirige específicamente a /p/u/doauthentication.do endpoint, que procesa las solicitudes de inicio de sesión en un formato estándar.
La falla crítica ocurre cuando la ruta del código analiza con éxito una tecla de formulario de inicio de sesión, pero no valida si los valores de formulario asociados están presentes.
Esto hace que la estructura Param_2 apunte a la memoria adyacente, que se vuelve nula dentro de la función, lo que permite a los atacantes filtrar exactamente 127 bytes de datos arbitrarios.
El exploit aprovecha las solicitudes de autenticación malformadas con valores de formulario faltantes, lo que hace que el sistema refleje el contenido de la memoria no intencional en las respuestas.
Este espacio de memoria se comparte en diferentes sesiones de usuario e interfaces administrativas, lo que permite capturar tokens de sesión de usuario legítimos y credenciales de texto sin formato de usuarios concurrentes.
Risk FactorsDetailsAffected Products– NetScaler ADC and NetScaler Gateway 14.1 prior to 14.1-43.56- NetScaler ADC and NetScaler Gateway 13.1 prior to 13.1-58.32- NetScaler ADC 13.1-FIPS and NDcPP prior to 13.1-37.235-FIPS and NDcPP- NetScaler ADC 12.1-FIPS Antes de las 12.1-55.328-FIPSIMPACTMEMORY DIVERSUNTAR Permitir la extracción de hasta 127 bytes por requestexploit Prerrequisitos: acceso a la red a un punto final de NetScaler vulnerable- Acceso a /p/u/doauthentication.do Punto final- Capacidad para enviar solicitudes de HTTP malformadas con valores de formulario faltantes- No autenticada para la expulsión de la explotación CECTUVSS 3.1 (1 (1 (1 1 1
Versiones afectadas
La vulnerabilidad afecta a múltiples versiones de productos NetScaler publicadas antes de parches específicos en junio de 2025.
Los sistemas afectados incluyen NetScaler ADC y Gateway 14.1 antes del 14.1-43.56, la versión 13.1 antes del 13.1-58.32 y varias versiones habilitadas para FIPS.
El alcance se extiende más allá de los puntos finales de los usuarios regulares a las utilidades de configuración utilizadas por los administradores, potencialmente exponiendo tokens de sesión de alto privilegio “NSOOT”.
Los investigadores demostraron la efectividad del exploit al sondear continuamente el punto final vulnerable, mientras que los usuarios legítimos accedieron al sistema.
El ataque capturó con éxito tokens de sesión pertenecientes a usuarios administrativos, incluidas las credenciales NSOOT que proporcionan un control completo sobre las instancias ADC de NetScaler.
La vulnerabilidad también expone las credenciales de texto sin formato de las solicitudes de inicio de sesión legítimas procesadas a través del mismo espacio de memoria.
Estrategias de mitigación
Las organizaciones pueden identificar posibles intentos de explotación al monitorear las entradas de registro que contienen caracteres no imprimibles en archivos NS.Log cuando se habilita el registro de depuración.
CISA ha agregado vulnerabilidad relacionada CVE-2025-6543 a su catálogo de vulnerabilidades explotados conocidos, lo que indica una explotación activa en la naturaleza.
Los pasos de mitigación recomendados incluyen aplicar inmediatamente los parches disponibles, la terminación de las sesiones de ICA y PCOIP existentes, y auditar sesiones activas para actividades anómalas, como usuarios individuales que acceden desde múltiples direcciones IP.
Los administradores del sistema deben comparar las configuraciones actuales con buenas copias de seguridad conocidas utilizando utilidades DIFF para identificar cambios no autorizados, particularmente la adición de cuentas de trasero.
La similitud de la vulnerabilidad con la citrixbleed original (CVE-2023-4966) sugiere que se pueden emplear tácticas similares posteriores a la explotación, incluidas las modificaciones de configuración e instalación de mecanismos de persistencia.
Alerta de seminario web exclusivo: aprovechar las innovaciones del procesador Intel® para la seguridad avanzada de API – Regístrese gratis
