Una vulnerabilidad crítica de día cero en los productos de Citrix NetScaler, identificada como CVE-2025-6543, ha sido explotada activamente por los actores de amenazas desde al menos mayo de 2025, meses antes de que se pusiera a disposición un parche.
Si bien Citrix inicialmente minimizó el defecto como una “vulnerabilidad del desbordamiento de memoria que conduce al flujo de control no deseado y la negación del servicio”, desde entonces se ha revelado que permite la ejecución de código remoto no autenticada (RCE), lo que lleva a un compromiso generalizado de los servicios gubernamentales y legales en todo el mundo.
A fines de junio de 2025, Citrix lanzó un parche para CVE-2025-6543. Sin embargo, para ese momento, los atacantes ya habían estado aprovechando la vulnerabilidad durante semanas.
El exploit se utilizó para infiltrarse en los sistemas de acceso remoto NetScaler, implementar aves de web para garantizar un acceso persistente incluso después de parchear y robar credenciales.
La evidencia sugiere que Citrix era consciente de la gravedad y la explotación continua, pero no reveló el alcance total de la amenaza para sus clientes, Kevin Beaumont dicho.
La Compañía proporcionó un script para verificar el compromiso solo a pedido y en condiciones restrictivas, sin explicar completamente la situación o las limitaciones del script.
El Centro Nacional de Seguridad Cibernética holandesa (NCSC) ha desempeñado un papel fundamental en la exposición de la verdadera naturaleza de los ataques. Su investigación confirmó que la vulnerabilidad fue explotada como un día cero y que los atacantes cubrieron activamente sus huellas, lo que hace que el análisis forense sea desafiante.
El informe del NCSC, publicado en agosto de 2025, declaró que “varias organizaciones críticas dentro de los Países Bajos han sido atacados con éxito” y que la vulnerabilidad fue abusada desde al menos a principios de mayo.
Cómo funciona el exploit
También se cree que el mismo actor de amenaza sofisticada está detrás de la explotación de otro día cero, CVE-2025–5777, también conocido como Citrixbleed 2, que se utilizó para robar sesiones de usuarios.
Las investigaciones están en curso para determinar si este actor también es responsable de explotar una vulnerabilidad más reciente, CVE-2025-7775.
La vulnerabilidad CVE-2025–6543 permite a un atacante sobrescribir la memoria del sistema al suministrar un certificado de cliente malicioso al punto final/CGI/API/inicio de sesión en un dispositivo NetScaler vulnerable.
Al enviar cientos de estas solicitudes, un atacante puede sobrescribir suficiente memoria para ejecutar código arbitrario en el sistema. Este método les da un punto de apoyo en la red, que han utilizado para moverse lateralmente a entornos de Active Directory mediante el uso de credenciales de cuentas de servicio LDAP robadas.
Los profesionales de la seguridad instan a todas las organizaciones que usan los dispositivos Netscaler de Citrix, orientados a Internet, a tomar medidas inmediatas.
Los administradores del sistema deben verificar los signos de compromiso, que incluyen la búsqueda de grandes solicitudes de publicación a/CGI/API/Iniciar sesión en registros de acceso web, a menudo en rápida sucesión.
Un código de error de registro NetScaler correspondiente de 1245184, que indica un certificado de cliente no válido, es un fuerte indicador de un intento de explotación.
El NCSC ha publicado scripts en GitHub para ayudar a las organizaciones a verificar el compromiso de los hosts en vivo y en los archivos COREDUMP.
Si se cree que un sistema está comprometido, los pasos recomendados son:
Inmediatamente tome el dispositivo NetScaler fuera de línea. Imagen el sistema para el análisis forense. Cambie las credenciales de la cuenta de servicio LDAP para evitar el movimiento lateral. Implemente una nueva instancia de NetScaler parcheada con credenciales nuevas.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha agregado CVE-2025-6543 a su catálogo de vulnerabilidades explotadas (KEV) conocidas, subrayando la urgencia de que las organizaciones apliquen parches y busquen signos de actividades maliciosas.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
