Investigadores de seguridad han hecho públicos detalles técnicos y código de explotación para una vulnerabilidad crítica recién descubierta en Citrix NetScaler, identificada como CVE-2025-5777. Esta falla de seguridad, con una puntuación CVSS de 9.3, fue parcheada por Citrix el 17 de junio y se debe a una validación de entrada insuficiente que podría llevar a lecturas de memoria fuera de los límites.
Alcance y Relevancia de la Vulnerabilidad
La vulnerabilidad afecta a las versiones de NetScaler ADC y NetScaler Gateway configuradas como un gateway o servidor virtual AAA. Citrix ha lanzado parches en varias versiones, incluyendo NetScaler ADC 14.1-43.56, 13.1-58.32, 13.1-FIPS, 13.1-NDcPP 13.1-37.235, y 12.1-FIPS 12.1-55.328, así como NetScaler Gateway 14.1-43.56 y 13.1-58.32.
Aproximadamente una semana después de que se lanzaran los parches, la firma de seguridad ReliaQuest alertó sobre la explotación activa de esta vulnerabilidad "en la naturaleza". El investigador de seguridad Kevin Beaumont, quien bautizó a la falla como CitrixBleed 2, advirtió que más de 50,000 instancias de NetScaler podrían estar en riesgo. El nombre se debe a su similitud con CVE-2023-4966 (conocida como CitrixBleed), una vulnerabilidad ampliamente explotada hace dos años.
A pesar de las afirmaciones de explotación activa, Citrix refutó la conexión con CitrixBleed a fines de junio, indicando que no había evidencia de una relación directa ni de que CVE-2025-5777 hubiera sido explotada en ataques. Sin embargo, instaron a los clientes a actualizar sus instancias lo antes posible como medida de precaución.
Detalles Técnicos de la Explotación
El viernes pasado, la firma de ciberseguridad watchTowr publicó su análisis de CitrixBleed 2, detallando cómo puede ser explotada para filtrar contenido de la memoria utilizando solicitudes HTTP. Este análisis incluyó código para identificar hosts vulnerables. Posteriormente, el lunes, Horizon3.ai también divulgó información técnica sobre el error, demostrando cómo su exploit puede usarse para recuperar tokens de sesión de usuario.
Ambas firmas de seguridad destacaron que la vulnerabilidad afecta el punto final de autenticación de NetScaler y puede ser activada mediante solicitudes de inicio de sesión incorrectas. La característica preocupante es que el dispositivo responde con porciones del contenido de la memoria, y el envío de solicitudes repetidas resulta en la divulgación de contenido de memoria adicional. Esto significa que un atacante podría recopilar gradualmente información sensible al realizar múltiples solicitudes.
Recomendaciones y Estado Actual
Se aconseja encarecidamente a los usuarios de NetScaler que actualicen a la última versión tan pronto como sea posible. Esta recomendación es crucial, no solo por los parches para CitrixBleed 2, sino también porque las actualizaciones incluyen correcciones para CVE-2025-6543, una falla crítica con una puntuación CVSS de 9.2 que ha sido explotada como un zero-day.
Según datos de The Shadowserver Foundation, al 7 de julio, aproximadamente 1,000 instancias de NetScaler aún no han sido parcheadas contra CVE-2025-5777, y más de 2,200 permanecen vulnerables al zero-day. Esta falta de actualización deja a numerosas organizaciones expuestas a riesgos significativos.
Fuente:
https://www.securityweek.com/exploits-technical-details-released-for-ci…