La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el jueves un defecto de seguridad crítico que afectó a Citrix Netscaler ADC y Gateway a su catálogo de vulnerabilidades explotadas (KEV) conocidas, lo que confirma oficialmente que la vulnerabilidad ha sido armada en la naturaleza.
La deficiencia en cuestión es CVE-2025-5777 (puntaje CVSS: 9.3), una instancia de firmeza de entrada insuficiente que podría ser explotada por un atacante para evitar la autenticación cuando el dispositivo está configurado como una puerta de enlace o un servidor posible AAA. Asimismo se vehemencia Citrix sangría 2 Correcto a sus similitudes con citrix hemorragia (CVE-2023-4966).
“Citrix Netscaler ADC y Gateway contienen una vulnerabilidad de lección fuera de los límites adecuado a la firmeza insuficiente de entrada”, dijo la agencia. “Esta vulnerabilidad puede conducir a la memoria sobrecargada cuando el NetScaler está configurado como una puerta de enlace (servidor VPN Posible, proxy ICA, CVPN, proxy RDP) o servidor posible AAA”.
Aunque desde entonces múltiples proveedores de seguridad han informado que la descompostura ha sido explotada en ataques del mundo actual, Citrix aún no ha actualizado sus propias avisos para reflectar este aspecto. A partir del 26 de junio de 2025, Anil Shetty, vicepresidente senior de ingeniería de Netscaler, dijo: “No hay evidencia que sugiera la explotación de CVE-2025-5777”.
Sin confiscación, el investigador de seguridad Kevin Beaumont, en un noticia publicado esta semana, dijo que la explotación Citrix Bleed 2 comenzó a mediados de junio, y agregó que una de las direcciones IP que llevan a lengua los ataques se ha vinculado previamente con la actividad de ransomware de Ransomhub.
Los datos de Greynoise muestran que los esfuerzos de explotación se originan en 10 direcciones IP maliciosas únicas ubicadas en Bulgaria, Estados Unidos, China, Egipto y Finlandia en los últimos 30 días. Los objetivos principales de estos esfuerzos son los Estados Unidos, Francia, Alemania, India e Italia.
La suplemento de CVE-2025-5777 al catálogo de KEV se produce como otra descompostura en el mismo producto (CVE-2025-6543, puntaje CVSS: 9.2) todavía ha sido de explotación activa en la naturaleza. CISA agregó el defecto al catálogo de KEV el 30 de junio de 2025.
“El término ‘citrix hemorragia’ se usa porque la fuga de memoria se puede activar repetidamente enviando la misma carga útil, con cada intento filtrar una nueva parte de la memoria de la pila, efectivamente la información confidencial ‘sangrante'”, dijo Akamai, advertir de un “aumento drástico del tráfico del escáner de vulnerabilidad” luego de la explotación de detalles de explotación.
“Este defecto puede tener consecuencias graves, considerando que los dispositivos afectados pueden configurarse como VPN, proxies o servidores virtuales AAA. Tokens de sesión y otros datos confidenciales pueden expuestos, lo que puede ser potencialmente comunicación no competente a aplicaciones internas, VPN, redes de centros de datos y redes internas”.
Correcto a que estos electrodomésticos a menudo sirven como puntos de entrada centralizados en redes empresariales, los atacantes pueden pivotar desde sesiones robadas para conseguir a portales de inicio de sesión único, paneles de nubes o interfaces de sucursal privilegiadas. Este tipo de movimiento colateral, donde un punto de apoyo se convierte rápidamente en comunicación completo a la red, es especialmente peligroso en entornos híbridos de TI con segmentación interna débil.
Para mitigar este defecto, las organizaciones deben actualizarse inmediatamente a las construcciones parcheadas que figuran en el aviso del 17 de junio de Citrix, incluida la interpretación 14.1-43.56 y más tarde. Luego de parchear, todas las sesiones activas, especialmente las autenticadas a través de AAA o Gateway, deben finalizarse por la fuerza para invalidar los tokens robados.
Asimismo se alienta a los administradores a inspeccionar registros (por ejemplo, ns.log) para solicitudes sospechosas a puntos finales de autenticación como /p/u/doauthentication.do, y revise las respuestas para datos XML inesperados como
El crecimiento todavía sigue los informes de la explotación activa de una vulnerabilidad de seguridad crítica en Osgeo Geoserver Geotools (CVE-2024-36401, CVSS SCUENT: 9.8) para implementar Netcat y el minero de criptomonedas XMRIG en ataques dirigidos por Corea del Sur por medio de los scripts de PowerShell y Shell. CISA agregó el defecto al catálogo de KEV en julio de 2024.
“Los actores de amenaza están dirigidos a entornos con instalaciones vulnerables de Geoserver, incluidas las de Windows y Linux, y han instalado NetCat y XMrig Coin Miner”, dijo Ahnlab.
“Cuando se instala un minero de monedas, utiliza los fortuna del sistema para extraer las monedas Monero del actor de amenaza. El actor de amenaza puede usar el NetCat instalado para realizar varios comportamientos maliciosos, como instalar otro malware o robar información del sistema”.
