Una ola masiva de explotación dirigida a la vulnerabilidad crítica citrixed 2 (CVE-2025-5777), con más de 11,5 millones de intentos de ataque registrados desde su divulgación en junio.
La campaña ha comprometido con éxito a más de 100 organizaciones en todo el mundo, con atacantes que demuestran técnicas sofisticadas de perfiles de víctimas y persistencia que han evadido en gran medida la detección.
CitriXbleed 2 Distribución de ataque que muestra el 40% de 11.5 millones de ataques dirigidos al sector de servicios financieros
Industria de servicios financieros bajo asedio
Los datos de ataque revelan un patrón inquietante de explotación específica, con organizaciones de servicios financieros que tienen la peor parte de la actividad maliciosa.
Según la inteligencia de amenazas de Imperva, cerca de El 40% de todos los intentos de ataque han dirigido específicamente la infraestructura de servicios financieros, que representa aproximadamente 4,6 millones de ataques contra este sector crítico.
El 60% restante de los ataques se ha extendido en otras industrias, lo que indica patrones de explotación tanto específicos como oportunistas.
El investigador de seguridad Kevin Beaumont, quien acuñó por primera vez el término “Citrixbleed 2”, informó que los atacantes han estado “seleccionando cuidadosamente a las víctimas, perfilando a Netscaler antes de atacar para asegurarse de que sea una caja real”.
Este enfoque metódico ha permitido a los actores de amenaza evitar honeypots y enfocar sus esfuerzos en la infraestructura empresarial legítima.
La línea de tiempo de explotación de la vulnerabilidad demuestra una brecha preocupante entre los ataques iniciales y la conciencia pública.
Los datos de honeypot de Greynoise confirman que la explotación activa comenzó el 23 de junio de 2025, casi dos semanas antes de que las exploits de prueba de concepto se publicaran públicamente el 4 de julio.
Esta ventana de explotación temprana permitió a los atacantes establecer un punto de apoyo en las redes de víctimas antes de que las organizaciones se dieron cuenta de la amenaza.
A pesar de la creciente evidencia de explotación activa, Citrix mantuvo hasta el 11 de julio que “no había evidencia para sugerir la explotación de CVE-2025-5777”.
La compañía solo actualizó su asesoramiento después de que CISA agregó la vulnerabilidad a su catálogo de vulnerabilidades explotadas (KEV) conocidas con un mandato de parcheo de 24 horas sin precedentes para las agencias federales.
Los grupos de ransomware explotan los objetivos de atención médica
Las fuentes de inteligencia han confirmado que al menos un grupo de ransomware ha estado aprovechando la vulnerabilidad para el acceso inicial desde junio.
Beaumont revelado que una organización de atención médica fue víctima de tal ataque, aunque la víctima solicitó el anonimato debido a los esfuerzos de remediación continuos.
Una dirección IP asociada con la actividad de explotación reciente (64.176.50.109) se ha vinculado previamente a las operaciones de ransomware RansomHub por CISA.
Las técnicas de explotación observadas incluyen la recopilación de datos de las sesiones de Citrix del usuario y la instalación de herramientas administrativas de MSP legítimas para la persistencia. Significativamente, estos ataques “no han provocado alertas en su pila de seguridad”, destacando la naturaleza sigilosa del compromiso.
Los expertos en seguridad han criticado el manejo de Citrix por la divulgación de vulnerabilidad y la orientación de remediación.
Las instrucciones de parcheo de la compañía no abordan la autorización de cookies de sesión, un paso crítico que deja a las organizaciones vulnerables al secuestro de sesiones incluso después de aplicar parches. Esta supervisión refleja problemas similares identificados durante la vulnerabilidad original de Citrixbleed en 2023.
Además, el propio producto de firewall de aplicaciones web de Citrix carece de capacidades de detección para esta vulnerabilidad, a pesar de las afirmaciones de la compañía de que las soluciones de WAF no pueden mitigar de manera efectiva la amenaza.
Esto contradice declaraciones de otros proveedores de seguridad importantes, incluidos Akamai e Imperva, que han implementado con éxito mecanismos de detección.
Los investigadores han identificado varias direcciones IP asociadas con campañas de explotación activa, incluyendo 139.162.47.194, 38.180.148.215, 102.129.235.108, 121.237.80.241 y 45.135.232.2.
Los datos de Greynoise muestran que se han observado 22 direcciones IP maliciosas únicas que intentan explotación, con actividad que se origina en China, Rusia, Corea del Sur y los Estados Unidos.
Según la Fundación Shadowserver, con casi 4.700 instancias Netscaler que quedan sin parches a partir del 17 de julio, según la Fundación Shadowserver, las organizaciones deben priorizar de inmediato los esfuerzos de remediación.
La naturaleza y la capacidad de preautenticación de la vulnerabilidad para evitar la autenticación de múltiples factores hacen que sea particularmente peligroso para los entornos empresariales que dependen de los electrodomésticos de NetScaler para un acceso remoto seguro.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
