La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos ha agregado la vulnerabilidad CVE-2025-5777 al Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), confirmando oficialmente que el fallo de seguridad en Citrix NetScaler ADC y Gateway está siendo activamente explotado por actores maliciosos.
¿Qué es CVE-2025-5777 (Citrix Bleed 2)?
Identificada con una puntuación CVSS de 9.3, esta vulnerabilidad es el resultado de una validación de entrada insuficiente, que permite a un atacante eludir mecanismos de autenticación cuando el dispositivo está configurado como:
-
Puerta de enlace (VPN, Proxy ICA, CVPN, Proxy RDP)
-
Servidor virtual AAA
Debido a su similitud técnica con Citrix Bleed (CVE-2023-4966), ha sido apodada Citrix Bleed 2. Esta falla se produce por una lectura fuera de límites de la memoria, que puede provocar filtración de tokens de sesión, credenciales y otra información sensible.
Según CISA, este tipo de fallas son comúnmente explotadas por grupos cibernéticos y representan una amenaza crítica para infraestructuras gubernamentales y corporativas.
Confirmación de explotación activa
Aunque en su anuncio inicial del 26 de junio de 2025 Citrix indicó que no había evidencia de explotación, la realidad cambió en cuestión de días. CISA confirmó la explotación activa el 11 de julio de 2025, y estableció un plazo máximo de 24 horas para que todas las agencias federales del Poder Ejecutivo Civil (FCEB) aplicaran las medidas de mitigación necesarias.
Investigadores confirman ataques
El investigador de seguridad Kevin Beaumont afirmó que la explotación comenzó a mediados de junio. Además, algunas de las direcciones IP utilizadas en los ataques han estado asociadas con el grupo de ransomware RansomHub, lo que sugiere un interés criminal sofisticado.
La empresa GreyNoise identificó 10 direcciones IP únicas realizando intentos de explotación desde países como:
-
Estados Unidos
-
Bulgaria
-
China
-
Egipto
-
Finlandia
Los principales blancos de estos ataques han sido organizaciones en EE.UU., Francia, Alemania, India e Italia.
Cómo funciona Citrix Bleed 2
El exploit aprovecha una falla de validación de entrada que permite realizar múltiples lecturas de memoria con una misma carga útil. Cada intento expone una porción diferente de la memoria del sistema, provocando una fuga progresiva de información confidencial, incluyendo tokens de sesión, datos de usuario, y posiblemente credenciales administrativas.
Según Akamai, esta falla puede comprometer portales de autenticación, aplicaciones internas, VPNs, y paneles de administración con privilegios elevados.
Riesgo de movimiento lateral
Dado que los dispositivos afectados suelen ser puntos de entrada centralizados a redes empresariales, el compromiso inicial puede convertirse rápidamente en un movimiento lateral, lo que facilita que un atacante obtenga control total sobre la red interna, especialmente en entornos híbridos con una segmentación de red deficiente.
Medidas urgentes de mitigación
Citrix publicó parches para CVE-2025-5777 el 17 de junio de 2025. Las organizaciones deben actualizar de inmediato a las versiones:
-
14.1-43.56 y posteriores
-
Otras versiones parcheadas según el aviso oficial de Citrix
Recomendaciones clave:
-
Aplicar el parche correspondiente sin demora
-
Forzar el cierre de todas las sesiones activas, especialmente las autenticadas vía Gateway o AAA
-
Auditar registros como
1ns.logpara detectar actividades sospechosas
-
Buscar solicitudes anómalas a rutas como
1"/p/u/doAuthentication.do" -
Revisar respuestas XML con campos como
1<InitialValue>que puedan indicar actividad maliciosa
Dado que el ataque no deja rastros de malware tradicional, el secuestro de tokens y la reproducción de sesiones son las preocupaciones principales.
Otras vulnerabilidades activamente explotadas
El caso de Citrix no es aislado. CISA también agregó recientemente otra falla crítica en NetScaler, CVE-2025-6543 (CVSS 9.2), al catálogo KEV el 30 de junio de 2025. Esta tendencia resalta la urgencia de aplicar parches con rapidez y mantener una política de actualización proactiva.
Además, el catálogo KEV incluye también CVE-2024-36401, una vulnerabilidad crítica en GeoServer GeoTools (CVSS 9.8), que ha sido explotada para desplegar:
-
Herramientas como NetCat
-
Malware de minería de criptomonedas como XMRig
Estas amenazas, observadas en Corea del Sur, utilizaron PowerShell y scripts de shell para explotar entornos vulnerables tanto en sistemas Windows como Linux.
Declaraciones oficiales de Citrix y CISA
El 11 de julio de 2025, Citrix actualizó su postura pública, afirmando que no había evidencia de explotación cuando se reveló CVE-2025-5777, pero reconociendo la necesidad urgente de aplicar parches.
“Esta vulnerabilidad en Citrix NetScaler ADC y Gateway representa un riesgo inaceptable para la seguridad federal”, declaró Chris Butera, subdirector ejecutivo interino de Ciberseguridad de CISA.
Butera enfatizó que el plazo de parcheo impuesto fue uno de los más cortos en la historia del KEV, reflejando la gravedad del riesgo y la sofisticación de los actores que ya están explotando la falla.
En fin, CVE-2025-5777 (Citrix Bleed 2) representa una amenaza crítica para cualquier organización que utilice dispositivos Citrix NetScaler ADC o Gateway como parte de su infraestructura de red. Su capacidad de permitir la exposición progresiva de memoria, la elusión de autenticación y el acceso lateral a redes internas la convierten en una vulnerabilidad de máxima prioridad.
Las organizaciones —especialmente aquellas en sectores sensibles como finanzas, salud, defensa o servicios públicos— deben actuar de inmediato, aplicar parches, revisar sus registros y adoptar una postura de seguridad de “asumir el compromiso”.
Fuente: The Hacker News
