Una vulnerabilidad crítica de ejecución de código remoto de día cero (RCE), rastreada como CVE-2025-7775, está afectando a más de 28,000 instancias de Citrix en todo el mundo.
El defecto se está explotando activamente en la naturaleza, lo que lleva a la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) a agregarlo a su conocido catálogo de vulnerabilidades explotadas (KEV).
La Fundación Shadowserver descubrió que a partir del 26 de agosto de 2025, más de 28,200 servidores permanecen sin parches, con las concentraciones más altas de sistemas vulnerables ubicados en los Estados Unidos y Alemania.
Servidores vulnerables por país
Citrix ha lanzado parches e insta a los administradores a aplicarlos de inmediato para evitar el compromiso del sistema. La explotación activa de esta vulnerabilidad plantea una amenaza significativa, ya que permite a los atacantes no autenticados ejecutar el código arbitrario en los servidores afectados, lo que puede conducir a la adquisición completa del sistema, robo de datos e infiltración de red adicional.
CVE-2025-7775: una falla crítica de RCE
Las vulnerabilidades de ejecución de código remoto se encuentran entre los defectos de seguridad más severos, y CVE-2025-7775 no es una excepción. Permite que un atacante remoto, sin necesidad de credenciales, ejecute código malicioso en un servidor Citrix vulnerable.
Detalles de vulnerabilidad Información CVE IDCVE-2025-7775 Vulnerabilidad TipoUntaenticada Ejecución de código remoto (RCE) explotada de manera estatina en el Wild (CISA KEV) afectó Inestancias 28,200 (a partir del 26 de agosto, 2025) Patches de aplicaciones primarias de CitRix Security Boletín CTX699938TOP ACTUALTOS ACTUALES PRESENTES CUNDADES CULTIVOS CULTIVOS CUNDADES GERMATIVOS
Este nivel de acceso podría permitir a los actores de amenaza implementar ransomware, instalar las puertas traseras para el acceso persistente, exfiltrar datos corporativos confidentes o utilizar el servidor comprometido como un punto dinámico para atacar a otros sistemas dentro de la red.
La designación del “día cero” indica que los atacantes estaban explotando el defecto antes de que Citrix pisara un parche oficial. Esto dio a los actores de amenaza una ventana crítica de la oportunidad de comprometer los sistemas expuestos.
Dado el uso generalizado de productos Citrix para acceso remoto seguro y entrega de aplicaciones en entornos empresariales, el impacto potencial de esta vulnerabilidad es sustancial. Una exploit exitosa podría interrumpir las operaciones comerciales y dar lugar a daños financieros y de reputación significativos.
La confirmación de la explotación en el bancarrojo por CISA subrayado La urgencia de la acción inmediata. Al agregar CVE-2025-7775 al catálogo de KEV, CISA ha ordenado que las agencias de rama ejecutiva civil federal (FCEB) de los Estados Unidos parcen sus sistemas mediante una fecha límite específica, una directiva que todas las organizaciones deben seguir.
La naturaleza generalizada de la vulnerabilidad, que afecta a decenas de miles de servidores a nivel mundial, significa que es probable que los ataques automatizados se intensifiquen a medida que más atacantes armen la hazaña.
Citrix ha publicado un boletín de seguridad, CTX694938que contiene la información y la orientación del parche necesario. La mitigación principal y más efectiva es aplicar las actualizaciones a todas las instancias afectadas sin demora.
Para las organizaciones que no pueden parchear de inmediato, es crucial revisar los registros del servidor para cualquier indicador de compromiso (COI), como procesos inusuales o conexiones de red salientes.
Aislar los servidores vulnerables de Internet e implementar reglas de firewall de aplicaciones web (WAF) para bloquear los intentos de explotación puede servir como controles de compensación temporal.
¿Cansado de llenar formularios para cuestionarios de seguridad y cumplimiento? ¡Automúalos en minutos con 1UP! Comience su prueba gratuita ahora!
