La falla crítica en los dispositivos Netscaler de Citrix se hace eco de infame 2023 violación de seguridad que paralizó las principales organizaciones en todo el mundo.
La nueva vulnerabilidad crítica en los dispositivos Citrix Netscaler tiene expertos en seguridad que advierten sobre una explotación generalizada potencial, lo que provoca paralelos alarmantes a los devastadores ataques “citrixbleed” que afectaron a las organizaciones en 2023.
La vulnerabilidad, rastreada como CVE-2025-5777 y denominada “Citrixbleed 2”, permite a los atacantes robar información confidencial directamente de la memoria del dispositivo, sin pasar por alto la autenticación multifactor y secuestro de sesiones de usuario.
El análisis de vulnerabilidad revelado por los investigadores de WatchTower Labs muestra que la vulnerabilidad de la fuga de memoria afecta a los dispositivos Netscaler ADC y NetScaler Gateway configurados como puertas de enlace de acceso remoto.
Con una puntuación crítica de gravedad de CVSS de 9.3, la vulnerabilidad proviene de una validación de entrada insuficiente que conduce a la memoria sobrecarga al procesar las solicitudes de autenticación.
La vulnerabilidad original de Citrixble (CVE-2023-4966) fue ampliamente explotada por grupos de ransomware y actores de estado-nación, lo que condujo a infracciones de alto perfil, incluidos los ataques contra el servicio Xfinity de Boeing y Comcast que afectó a 36 millones de clientes.
Explotación activa sospecha
La firma de ciberseguridad Reliaquest informó que han observado indicadores de “confianza media” que sugieren que la vulnerabilidad ya está siendo explotada en ataques específicos.
La evidencia incluye sesiones web de Citrix secuestradas donde se otorgó la autenticación sin conocimiento del usuario, lo que indica un exitoso derivación de la autenticación multifactor.
Los investigadores identificaron varios patrones preocupantes: reutilización de la sesión en direcciones IP sospechosas, consultas LDAP asociadas con el reconocimiento de Active Directory y múltiples instancias de la herramienta Adexplorer64.exe que se implementa en entornos comprometidos. Los atacantes parecen estar utilizando servicios VPN de consumo para enmascarar sus actividades mientras realizan un reconocimiento posterior a la violación.
El análisis de WatchTower Labs revela que La explotación de la vulnerabilidad es sorprendentemente sencilla. Al enviar una solicitud HTTP malformada al punto final de inicio de sesión de Citrix Gateway sin los valores de parámetros adecuados, los atacantes pueden activar una fuga de memoria que expone variables no inicializadas que contienen datos confidenciales de la memoria del dispositivo.
“Lo que está sucediendo bajo el capó aquí es un caso clásico de travesuras en idioma C”, explicaron los investigadores. “El analizador de backend termina entregándonos una variable local no inicializada” que contiene cualquier datos que se almacenara previamente en la memoria, potencialmente incluyendo tokens de sesión y otra información confidencial.
La vulnerabilidad se manifiesta cuando los atacantes envían solicitudes de publicación HTTP a /p/u/doauthentication.do punto final con parámetros de inicio de sesión malformados. En lugar de inicializar correctamente las variables de memoria, el sistema devuelve cualquier datos residuales se almacenó previamente en la memoria, creando un ejemplo de libro de texto de CWE-457: Uso de una variable no inicializada.
El investigador de seguridad Kevin Beaumont, quien acuñó al apodo de “Citrixed 2”, señaló que más de 50,000 instancias de NetScaler potencialmente vulnerables están expuestas a Internet en función de las búsquedas de Shodan. La Fundación Shadowserver descubrió que más de 1,200 electrodomésticos permanecen sin parpadear a fines de junio de 2025, a pesar de que Citrix lanzar soluciones el 17 de junio.
Citrix ha lanzado actualizaciones de seguridad para versiones compatibles e insta a las organizaciones a actualizar de inmediato.
La compañía recomienda finalizar todas las sesiones activas de ICA y PCOIP después de parches para evitar un posible secuestro de sesiones. Las organizaciones que ejecutan las versiones al final de la vida 12.1 y 13.0 deben actualizarse a versiones compatibles, ya que no recibirán parches de seguridad.
Dado el severo impacto de los ataques citruxbleizados originales, que continuaron explotando durante meses después de que los parches estuvieran disponibles, los expertos en seguridad enfatizan que las organizaciones no pueden permitirse retrasar los esfuerzos de parches.
La similitud de la vulnerabilidad con su predecesor sugiere que probablemente se convertirá en una herramienta favorita para los ciberdelincuentes que buscan acceso inicial a las redes empresariales.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
