Citrixbleed 2 (CVE-2025-5777) estalló en 2025 cuando los investigadores descubrieron una lectura fuera de los límites en Citrix Netscaler ADC y Gateway que permite una solicitud de sifón no autorenticada directamente del aparato.
La falla se desencadena por una publicación malformada enviada a /p/u/doauthentication.do, cookies de sesión de fuga, tokens MFA e incluso contraseñas de texto sin formato a cualquiera que pregunte, no se requiere ninguna cadena de explotación.
Para el 10 de julio, CISA elevó el error a su conocido catálogo de vulnerabilidades explotadas, confirmando que los equipos de ransomware oportunistas y los actores estatales ya lo habían armado en la naturaleza.
La telemetría de Greynoise muestra que el escaneo comenzó el 1 de julio, nueve días antes de que Citrix publicara orientación técnica completa, y Censys cuenta aproximadamente 70,000 instancias de Netscaler accesibles en Internet público, un marcado recordatorio de la superficie de ataque en juego.
Analistas de Splunk anotado Un aumento agudo en las respuestas sospechosas de 200 bytes que contienen etiquetas de basura binaria y XML que coinciden con el patrón de fuga, a menudo seguido en cuestión de minutos por inicios de sesión VPN exitosos de geolocaciones inesperadas.
Su investigación enfatiza que las sesiones secuestradas siguen siendo válidas hasta que se terminan explícitamente, por lo que el parche y matar es obligatorio, no opcional.
El impacto es inmediato: las cookies robadas NSC_USER y NSC_TASS se pueden reproducir para evitar MFA, pivotar dentro de las redes y soltar ransomware o implantes de acceso remoto.
Las agencias federales tuvieron que parchear a 14.1-43.56 o 13.1-58.32 a fines de julio, sin embargo, incluso los respondedores rápidos enfrentan desafíos forenses porque la memoria filtrada puede revelar tokens de administrador para todo el aparato.
En este contexto, el equipo de investigación de amenazas de Splunk ha publicado una historia analítica y un complemento técnico acompañante que analiza los registros de auditoría de Netscaler, los enriquece con los campos CIM e intentos de explotación de superficie en tiempo real.
Flujo de ataque (fuente – Splunk)
Este flujo de ataque asigna el disparador de un solo paquete a la secuencia de secuencia de la sesión, subrayando el poco se necesita el esfuerzo del atacante una vez que el analizador maneja mal el parámetro de inicio de sesión.
Mecanismo de infección: fuga de memoria y reutilización de la sesión
Debajo del capó, Citrixbleed 2 es un caso de libro de texto de CWE-457. Cuando el parámetro de inicio de sesión se suministra sin un signo o valor igual, el controlador de autenticación asigna un búfer e imprime datos no inicializados en un elemento XML “.
La solicitud del atacante se parece a lo siguiente:-
Post /p/u/doauthentication.do http/1.1 Host: victim.gateway Content-longitud: 5 Iniciar sesión
Netscaler responde obedientemente con algo como:-
Es | ¼C ÷ pkóßys5êÞåð^ð |@ºjzõ¶¶@¹^ì¶uã7kèg nsc_user = 8d3f2a1b; nsc_tass = a4
A partir de aquí, el adversario simplemente repite las cookies expuestas:-
Get /vpn/index.html http/1.1 host: victim.gateway cookie: nsc_user = 8d3f2a1b; Nsc_tass = a4
La detección de Splunk depende de la detección de que Post malformado, así como cualquier respuesta de NetScaler que contenga bytes no imprimibles intercalados entre etiquetas XML.
La consulta SPL del equipo a continuación cuenta cuántas fuentes distintas intentaron la explotación y los indicadores de la divulgación de memoria exitosa:-
index = NetsCaler SourCetype = Citrix: NetsCaler: Auditoría | donde uri = “/p/u/doauthentication.do” y método = “post” y (coincidir (request_body, “login \\ s*$”) o coincidir (request_body, “login (^=)”)) | Valores de conteo de estadísticas (src_ip) min (_time) max (_time)
Cuando aparecen los golpes, los respondedores primero deben actualizar el dispositivo, luego purgar cada sesión de VPN e ICA en vivo con Kill VPN -LLOD y Kill Icaconnection, todo antes de girar las credenciales y peinar registros para artefactos de movimiento lateral.
Con el código de exploit que ya circula, esos pasos son la diferencia entre un incidente contenido y un compromiso de todo el dominio.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
