CISA ha emitido una advertencia urgente con respecto a una vulnerabilidad crítica de desbordamiento de búfer en los productos Citrix Netscaler ADC y Gateway, designados como CVE-2025-6543.
Agregado al catálogo de vulnerabilidades explotadas (KEV) conocidas de CISA el 30 de junio de 2025, los actores de amenaza están explotando activamente esta falla de alta severidad y representan riesgos significativos para las organizaciones que utilizan estos componentes de infraestructura de red.
La vulnerabilidad permite a los atacantes lograr la manipulación del flujo de control no intencional y ejecutar ataques de negación de servicio (DOS) contra los sistemas afectados, lo que provocó acciones inmediatas de agencias federales y organizaciones del sector privado.
Vulnerabilidad de desbordamiento de búfer netscaler de Citrix
CVE-2025-6543 representa una vulnerabilidad de desbordamiento de amortiguación clasificada bajo la enumeración de debilidad común (CWE) 119, que abarca la restricción inadecuada de las operaciones dentro de los límites del búfer de memoria.
Esta clasificación técnica indica que la vulnerabilidad proviene de mecanismos de validación de entrada insuficientes dentro de la base de código NetScaler, lo que permite a los atacantes escribir datos más allá de los límites de memoria asignados.
La explotación de este defecto puede dar lugar a una ejecución de código arbitraria y un compromiso del sistema, por lo que es particularmente peligroso para los dispositivos de red orientados a Internet.
La vulnerabilidad afecta específicamente a Citrix NetScaler ADC (controlador de entrega de aplicaciones) y productos de puerta de enlace cuando se configuran en modos operativos específicos.
Estos dispositivos de red de grado empresarial sirven como componentes de infraestructura crítica, manejando el equilibrio de carga, la descarga de SSL y las funcionalidades de acceso remoto seguro para las organizaciones de todo el mundo.
La condición de desbordamiento del búfer se produce durante las rutinas de procesamiento de paquetes, donde el tráfico de red malformado puede activar la corrupción de la memoria, lo que lleva a la inestabilidad del sistema o un compromiso completo.
La explotación de la vulnerabilidad requiere que estén presentes configuraciones de Netscaler específicas, limitando su superficie de ataque, pero aún afectan un número sustancial de implementaciones.
Los sistemas afectados deben configurarse como servicios de puerta de enlace, incluidos servidores virtuales VPN, implementaciones de proxy ICA, servicios CVPN (Cloud VPN) o configuraciones de proxy RDP.
Además, los sistemas configurados con los servidores virtuales AAA (autenticación, autorización y contabilidad) son susceptibles a esta vulnerabilidad.
Las organizaciones que utilizan dispositivos NetScaler en estas configuraciones enfrentan riesgos inmediatos de interrupción del servicio, acceso no autorizado y posible movimiento lateral dentro de su infraestructura de red.
Si bien la evaluación actual de CISA indica que el uso de la vulnerabilidad en las campañas de ransomware sigue siendo desconocido, el estado de explotación activa sugiere que los actores de amenaza sofisticados están aprovechando este defecto con fines maliciosos.
Factores de riesgo Los productos afectados por la colocación de la línea de riesgo ADC y Gatewayimpact de servicio (DOS) Explotan los requisitos previos de NetsCaler deben configurarse como:- Gateway (VPN Virtual Server, ICA Proxy, CVPN, RDP Proxy) o AAA Virtual ServerCVSS Puntuación 9.2 (crítico)
Mitigación
CISA tiene establecido Una fecha límite de cumplimiento obligatorio del 21 de julio de 2025, que requiere que las agencias federales implementen mitigaciones proporcionadas por los proveedores o descontinúen el uso de productos vulnerables.
Esta Directiva sigue las pautas de la Directiva Operativa vinculante (BOD) 22-01, que exigen a las agencias federales que aborden las vulnerabilidades explotadas conocidas dentro de los plazos especificados.
Las organizaciones deben aplicar inmediatamente las actualizaciones de seguridad publicadas por Citrix y seguir la guía para proteger contra las amenazas continuas.
Para las implementaciones de servicios en la nube, se aplica la orientación adicional de servicio en la nube BOD 22-01, que requiere capacidades de monitoreo y respuesta de incidente mejoradas.
La naturaleza urgente de esta vulnerabilidad subraya la importancia crítica de mantener los niveles de parche actuales para los componentes de infraestructura de red e implementar programas de gestión de vulnerabilidades sólidos en entornos empresariales.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}