La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el jueves un defecto de seguridad crítico que afectó a Citrix Netscaler ADC y Gateway a su catálogo de vulnerabilidades explotadas (KEV) conocidas, lo que confirma oficialmente que la vulnerabilidad ha sido armada en la naturaleza.
La deficiencia en cuestión es CVE-2025-5777 (puntaje CVSS: 9.3), una instancia de validación de entrada insuficiente que podría ser explotada por un atacante para evitar la autenticación cuando el dispositivo está configurado como una puerta de enlace o un servidor virtual AAA. También se llama Citrix sangrado 2 Debido a sus similitudes con citrix hemorragia (CVE-2023-4966).
“Citrix Netscaler ADC y Gateway contienen una vulnerabilidad de lectura fuera de los límites debido a la validación insuficiente de entrada”, dijo la agencia. “Esta vulnerabilidad puede conducir a la memoria sobrecargada cuando el NetScaler está configurado como una puerta de enlace (servidor VPN Virtual, proxy ICA, CVPN, proxy RDP) o servidor virtual AAA”.
CISA señaló que fallas como CVE-2025-5777 son vectores de ataque frecuentes para actores cibernéticos maliciosos y representan un riesgo significativo para las empresas federales. Con ese fin, las agencias federales de rama ejecutiva civil (FCEB) deben implementar mitigaciones para fines de hoy, 11 de julio.
Aunque desde entonces múltiples proveedores de seguridad han informado que la falla ha sido explotada en ataques del mundo real, Citrix aún no ha actualizado sus propias avisos para reflejar este aspecto. A partir del 26 de junio de 2025, Anil Shetty, vicepresidente senior de ingeniería de Netscaler, dijo: “No hay evidencia que sugiera la explotación de CVE-2025-5777”.
El investigador de seguridad Kevin Beaumont, en un informe publicado esta semana, dijo que la explotación Citrix Bleed 2 comenzó a mediados de junio, y agregó que una de las direcciones IP que llevan a cabo los ataques se ha vinculado previamente a la actividad de ransomware de Ransomhub.
Los datos de Greynoise muestran que los esfuerzos de explotación se originan en 10 direcciones IP maliciosas únicas ubicadas en Bulgaria, Estados Unidos, China, Egipto y Finlandia en los últimos 30 días. Los objetivos principales de estos esfuerzos son los Estados Unidos, Francia, Alemania, India e Italia.
La adición de CVE-2025-5777 al catálogo de KEV se produce como otra falla en el mismo producto (CVE-2025-6543, puntaje CVSS: 9.2) también ha sido de explotación activa en la naturaleza. CISA agregó el defecto al catálogo de KEV el 30 de junio de 2025.
“El término ‘citrix hemorragia’ se usa porque la fuga de memoria se puede activar repetidamente enviando la misma carga útil, con cada intento filtrar una nueva parte de la memoria de la pila, efectivamente la información confidencial ‘sangrante'”, dijo Akamai, advertir de un “aumento drástico del tráfico del escáner de vulnerabilidad” después de la explotación de detalles de explotación.
“Este defecto puede tener consecuencias graves, considerando que los dispositivos afectados pueden configurarse como VPN, proxies o servidores virtuales AAA. Tokens de sesión y otros datos confidenciales pueden expuestos, lo que puede ser potencialmente acceso no autorizado a aplicaciones internas, VPN, redes de centros de datos y redes internas”.
Debido a que estos electrodomésticos a menudo sirven como puntos de entrada centralizados en redes empresariales, los atacantes pueden pivotar desde sesiones robadas para acceder a portales de inicio de sesión único, paneles de nubes o interfaces de administración privilegiadas. Este tipo de movimiento lateral, donde un punto de apoyo se convierte rápidamente en acceso completo a la red, es especialmente peligroso en entornos de TI híbridos con segmentación interna débil.
Para mitigar este defecto, las organizaciones deben actualizarse inmediatamente a las construcciones parcheadas que figuran en el aviso del 17 de junio de Citrix, incluida la versión 14.1-43.56 y más tarde. Después de parchear, todas las sesiones activas, especialmente las autenticadas a través de AAA o Gateway, deben finalizarse por la fuerza para invalidar los tokens robados.
También se alienta a los administradores a inspeccionar registros (por ejemplo, ns.log) para solicitar solicitudes sospechosas a puntos finales de autenticación como “/p/u/doauthentication.do, y revise las respuestas para datos XML inesperados como
El desarrollo también sigue los informes de la explotación activa de una vulnerabilidad de seguridad crítica en Osgeo Geoserver Geotools (CVE-2024-36401, CVSS SCUENT: 9.8) para implementar Netcat y el minero de criptomonedas XMRIG en ataques dirigidos por Corea del Sur por medio de los scripts de PowerShell y Shell. CISA agregó el defecto al catálogo de KEV en julio de 2024.
“Los actores de amenaza están dirigidos a entornos con instalaciones vulnerables de Geoserver, incluidas las de Windows y Linux, y han instalado NetCat y XMrig Coin Miner”, dijo Ahnlab.
“Cuando se instala un minero de monedas, utiliza los recursos del sistema para extraer las monedas Monero del actor de amenaza. El actor de amenaza puede usar el NetCat instalado para realizar varios comportamientos maliciosos, como instalar otro malware o robar información del sistema”.
Actualizar
Citrix, en una actualización el 11 de julio, una vez instó a los clientes a instalar las actualizaciones necesarias lo antes posible, y señaló que no estaba al tanto de ninguna explotación en el desarrollo de CVE-2025-5777 cuando reveló públicamente la falla.
“En ese momento anunciamos CVE-2025-5777, no había evidencia para sugerir la explotación de CVE-2025-5777”, dijo Shetty. “Posteriormente, el 11 de julio de 2025, CISA agregó CVE-2025-5777 a su conocido catálogo de vulnerabilidades explotadas”.
Al comentar sobre la fecha límite de parches más corta emitida por la agencia, el director ejecutivo interino de CyberSecurity, Chris Butera, compartió la siguiente declaración con Hacker News –
Esta vulnerabilidad en los sistemas Citrix Netscaler ADC y Gateway, también conocido como Citrix Bleed 2, plantea un riesgo significativo e inaceptable para la seguridad de la empresa civil federal. Como la Agencia de Defensa Cibernética de Estados Unidos y el líder operativo de la ciberseguridad civil federal, CISA está tomando medidas urgentes al ordenar a las agencias que se parcen dentro de las 24 horas y alentamos a todas las organizaciones a parchear de inmediato.
(La historia se actualizó después de la publicación para incluir una declaración de Citrix y CISA).
