Los investigadores han observado intentos de explotación generalizados dirigidos a una vulnerabilidad de divulgación de memoria crítica en los dispositivos Citrix NetScaler, designados como CVE-2025-5777 y denominado “Citrixed 2” “.
Esta falla previa a la autorenticación permite a los atacantes elaborar solicitudes maliciosas que filtren la memoria no inicializada de los dispositivos ADC y la puerta de enlace NetScaler afectados, que potencialmente exponen datos confidenciales, incluidos tokens de sesión, contraseñas y valores de configuración.
La vulnerabilidad ha provocado respuestas de seguridad inmediatas de las organizaciones de todo el mundo, con más de 200,000 intentos de escaneo detectados a los pocos días de la divulgación de prueba de concepto.
Control de llave
1. CVE-2025-5777 afecta a los dispositivos NetScaler de Citrix, lo que permite a los atacantes no autenticados que filtren datos de memoria confidenciales, incluidos tokens de sesión y contraseñas.
2. Se detectaron más de 200,000 intentos de escaneo dirigidos a puntos finales vulnerables, lo que indica una actividad generalizada de la amenaza del actor.
3. Los atacantes envían solicitudes diseñadas con grandes encabezados de agentes de usuario para activar fugas de memoria continua del mismo objetivo.
4. Las organizaciones deben parchear inmediatamente las versiones de Netscaler afectadas e implementar las reglas de protección de Akamai debido a la disponibilidad de exploits públicas.
Citrixbleed 2 vulnerabilidad (CVE-2025-5777)
La vulnerabilidad de Citrixbleed 2 proviene del manejo de memoria inadecuado en la función de autenticación de los dispositivos Citrix NetScaler.
La falla explota una variable de inicio de sesión no inicializada combinada con validación de entrada inadecuada y el manejo de errores faltantes en la lógica de autenticación.
Dado que el código subyacente se escribe en C/C ++, que no inicializa automáticamente las variables, los atacantes pueden acceder a la memoria de pila aleatoria que contiene datos sobrantes de las operaciones anteriores.
La vulnerabilidad afecta a múltiples versiones de NetScaler, incluidos Netscaler ADC y Gateway 14.1 antes del 14.1-43.56, la versión 13.1 antes del 13.1-58.32, Netscaler ADC 13.1-Fips y NDCPP antes del 13.1-37.235-FIPS y ADC NETSCALER 12.1-FIPS antes de 12.1-55.328 FIPS.
El ataque se dirige a la ruta de la URL /p/u/doauthentication.do y no requiere autenticación, lo que lo hace particularmente accesible para los actores de amenaza.
Los atacantes explotan esta vulnerabilidad a través de un enfoque sistemático que implica el reconocimiento, la enumeración y los intentos de explotación repetidos.
El ataque comienza con el escaneo de instancias de NetScaler Citrix expuestas, seguido de verificación de la versión para identificar objetivos vulnerables.
El exploit real implica enviar solicitudes de publicación elaboradas a /p/u/doauthentication.do endpoint con un encabezado de agente de usuario inusualmente grande que contiene patrones reconocibles.
La técnica obtuvo el apodo “Citrixbleed” porque los atacantes pueden activar repetidamente fugas de memoria enviando cargas útiles idénticas, con cada intento exponer nuevos trozos de memoria de la pila.
El encabezado de agente de usuario de gran tamaño inyecta marcadores distintivos como “Thr-Waf-Research” en la pila, que posteriormente aparece dentro de las etiquetas XML en las respuestas HTTP, confirmando una divulgación de memoria exitosa y revelando información confidencial.
Factores de riesgo Los productos afectados por Details: NetScaler ADC y Netscaler Gateway 14.1 antes del 14.1-43.56- Netscaler ADC y NetScaler Gateway 13.1 antes del 13.1-58.32- NetScaler ADC 13.1-Fips y NDCPP antes de 13.1-37.235-FIPS y NDCPP- CHIPSCALES ANTES DECCPAPEDES ANTES DECCPAPEDES ANTES DE ADCPAPES ANTES DE ADCPAPES ANTES ADCPAPPPPPPPPPPPPPPPPED ANTES ADCEP ADCPAPES ANTES ADCEP ADCPPAPED ADCPAPES ANTES ADCPAppppppp. 12.1-55.328-FIPSIMPACTMEMORY Divulgación de la pila no inicializada MemoryExPloit Requisitos previos no se requiere autenticación (falla previa a la autorización)- Acceso a la red a dispositivo NetScaler de destino: Capacidad de HTTP Posts Posts: punto final de destino: /p/u/DoAuthentication.do- No hay condiciones anteriores o especialidades de privilegios necesarias necesidades.
Medidas de mitigación
El equipo de seguridad de Akamai ha respondido a la amenaza al lanzar la Regla Rápida 3000967 a través de su plataforma APP & API Protector.
Inicialmente implementado con una acción de “alerta” el 7 de julio de 2025, la regla se actualizó para “negar” el estado al día siguiente después de la validación.
Los investigadores de seguridad observaron una actividad de escaneo significativa a partir del 8 de julio de 2025, con más de 200,000 solicitudes posteriores al punto final vulnerable en múltiples nombres de host y direcciones IP.
Este escaneo a gran escala representa intentos organizados para identificar instancias de Netscaler vulnerables para una posible explotación.
Se recomienda encarecidamente a las organizaciones que reparen los dispositivos afectados de inmediato e implementen un monitoreo adicional para los indicadores de compromiso, ya que la naturaleza previa a la autorización de la vulnerabilidad y la disponibilidad de prueba de concepto pública crean una exposición sustancial al riesgo.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}