Más de 2.100 servidores de NetScaler de Citrix vulnerables permanecen expuestos a la explotación activa, a pesar de que los parches están disponibles para vulnerabilidades críticas que permiten a los atacantes evitar mecanismos de autenticación y robar tokens de sesión.
La firma de ciberseguridad Reliaquest ha emitido advertencias sobre la explotación activa de dos vulnerabilidades críticas que afectan a los sistemas Citrix NetScaler ADC y NetScaler Gateway. Las vulnerabilidades, rastreadas como CVE-2025-5777 y CVE-2025-6543, han estado bajo ataque desde mediados de junio de 2025, con actividades de escaneo detectadas desde el 19 de junio.
A partir del 29 de junio de 2025, los escaneos de seguridad del Showowserver identificaron aproximadamente 1,289 y 2,100 direcciones IP sin parches, con las concentraciones más altas en los Estados Unidos y Alemania. Esto representa una exposición significativa a la seguridad dada la naturaleza crítica de estos defectos.
Citrix Bleed 2: una evolución peligrosa
CVE-2025-5777, denominado “Citrix Bleed 2”, lleva una puntuación CVSS de 9.2 y representa una evolución peligrosa de la vulnerabilidad original de sangrado Citrix que causó estragos en 2023.
Esta nueva vulnerabilidad proviene de una validación de entrada insuficiente, lo que resulta en lecturas de memoria fuera de los límites que permiten a los atacantes extraer datos de autenticación confidenciales.
Lo que hace que Citrix sangrante 2 sea particularmente insidioso es su mecanismo de orientación. Si bien el original se centró en las cookies de sesión, esta variante se dirige a los tokens de sesión utilizados en las llamadas de API y las sesiones de aplicación persistentes, lo que podría otorgar a los atacantes acceso de larga vida. Incluso después de que los usuarios terminen las sesiones del navegador, los atacantes podrían mantener el acceso no autorizado a través de tokens de sesión secuestrados.
Los investigadores de Reliaquest observaron con respecto a los indicadores que sugieren una explotación activa, incluidas las sesiones web de Citrix secuestradas donde la autenticación se otorgó sin conocimiento del usuario, lo que indica un bypass de MFA exitoso.
La explotación incluye la reutilización de la sesión en múltiples direcciones IP, combinando fuentes esperadas y sospechosas.
CVE-2025-6543 lleva una puntuación CVSS de 9.3 y ha sido confirmado como explotado activamente por Citrix. Esta vulnerabilidad de desbordamiento de memoria afecta las mismas configuraciones de NetScaler, pero plantea diferentes amenazas. La explotación exitosa conduce a condiciones de denegación de servicio que pueden cerrar la infraestructura crítica de la red.
Citrix reconoció la explotación activa, indicando que se han observado “exploits de CVE-2025-6543 en electrodomésticos no mitigados”.
Los analistas de seguridad documentaron patrones de ataque sofisticados, lo que sugiere la participación de un actor de amenaza avanzada. Manifiesto observado Múltiples instancias de “Adexplorer64.exe” se implementan en entornos comprometidos. Los atacantes han armado esta herramienta de Microsoft para realizar extensas actividades de reconocimiento de dominio.
Los investigadores detectaron consultas LDAP asociadas con el reconocimiento de Active Directory y las sesiones de Citrix que se originan en direcciones IP de alojamiento del centro de datos, incluidos servicios VPN de consumo como Datacamp, que sugiere técnicas de ofuscación sofisticadas.
Los electrodomésticos Netscaler sirven como componentes críticos de infraestructura, que actúan como puertas de enlace para el acceso remoto a aplicaciones corporativas y centros de datos. Estos sistemas a menudo sirven como puntos de entrada principales para trabajadores remotos, lo que los convierte en objetivos de alto valor.
Las capacidades de derivación de la autenticación son particularmente preocupantes porque eluden los mecanismos de autenticación de múltiples factores en los que las organizaciones confían como controles de seguridad críticos.
Citrix liberado Las compilaciones de NetScaler actualizadas que abordan ambas vulnerabilidades. Las versiones parchadas recomendadas incluyen NetScaler ADC y Netscaler Gateway 14.1-43.56 y lanzamientos posteriores, y 13.1-58.32 y versiones posteriores de 13.1.
Críticamente, Citrix aconsejó a los administradores que ejecutaran comandos específicos después de parchear: “Kill Icaconnection -LOl” y “Kill PCoipConnection -LOl” para terminar las sesiones activas y evitar que los atacantes mantengan el acceso a través de sesiones previamente secuestradas.
Las versiones de NetScaler 12.1 y 13.0 han alcanzado el estado de fin de vida y no recibirán parches de seguridad. Las organizaciones que ejecutan estas versiones heredadas enfrentan una exposición indefinida y están fuertemente instadas a actualizar de inmediato.
Las organizaciones deben aplicar inmediatamente parches de seguridad a todos los sistemas Netscaler, particularmente los electrodomésticos de Internet. Los procedimientos posteriores al parche son igualmente críticos: los administradores deben terminar todas las sesiones activas para invalidar los tokens comprometidos.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
