Alerta Crítica: Citrix Parchea Vulnerabilidades Activamente Explotadas en NetScaler ADC

SeguridadNoticias

Published:

Reading time: 1 min.

Citrix ha emitido parches de emergencia para dos vulnerabilidades críticas (CVE-2025-6543 y CVE-2025-5777) que están siendo explotadas activamente en dispositivos NetScaler ADC y Gateway. Estas fallas permiten a los atacantes bypassear autenticaciones y causar denegación de servicio, afectando a miles de organizaciones que usan estas soluciones.

🔴 Vulnerabilidades en Detalle

1. CVE-2025-6543 (CVSS 9.2) – «Desbordamiento de Memoria»

  • Tipo: Buffer overflow que permite control de flujo no deseado y DoS

  • Requisitos para explotación:

    • Dispositivo configurado como:

      • Puerta de enlace VPN (servidor virtual VPN)

      • Proxy ICA/RDP

      • Servidor virtual AAA

  • Versiones afectadas:

    • NetScaler ADC/Gateway 14.1 (< 14.1-47.46)

    • NetScaler ADC/Gateway 13.1 (< 13.1-59.19)

    • Versiones 12.1 y 13.0 (EOL – sin soporte)

2. CVE-2025-5777 (CVSS 9.3) – «Citrix Bleed 2»

  • Tipo: Validación de entrada insuficiente que permite robo de tokens de sesión

  • Impacto: Bypass de autenticación mediante solicitudes malformadas

  • Versiones parcheadas:

    • 14.1-43.56+

    • 13.1-58.32+

    • 13.1-FIPS/NDcPP 13.1-37.235+

🚨 Acciones Recomendadas

Actualizaciones Urgentes

Versión Build Seguro
14.1 14.1-47.46+
13.1 13.1-59.19+
13.1-FIPS 13.1-37.236+

Mitigaciones Temporales

  1. Deshabilitar servidores virtuales AAA/VPN si no son esenciales

  2. Restringir acceso mediante listas de control (ACLs)

  3. Monitorear logs en busca de:

    • Solicitudes HTTP/HTTPS malformadas

    • Intentos de acceso con tokens robados

Para Versiones EOL (12.1/13.0)

  • Migrar inmediatamente a versiones soportadas

  • Aislar dispositivos en redes separadas

  • Implementar WAF con reglas específicas

📊 Impacto Potencial

  • Acceso no autorizado a redes corporativas

  • Exfiltración de credenciales y datos sensibles

  • Ataques ransomware mediante pivoting interno

  • Interrupción de servicios críticos (DoS)

🔍 Contexto Adicional

Esta vulnerabilidad recuerda al CitrixBleed original (CVE-2023-4966), explotado masivamente en 2023. Según Kevin Beaumont, investigador de seguridad:

«Los atacantes están usando técnicas similares a las de 2023, pero ahora con mayor sofisticación»

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles

LO MAS VISTO DEL MES

BIENVENIDO A NKSISTEMAS, TU WEB DE TECNOLOGIA

Un lugar donde encontrarás mucha información de Linux, Docker, Kubernetes, AWS, , Windows,Fortigate, VMware, Citrix, Redes, CCNA, Seguridad y hacking, y todo lo relativo al mundo informático por medio de cursos, tutoriales y videos. Mi nombre es Jorge, soy Sr sysadmin/DevOps/SRE, compartiendo conocimientos desde Buenos Aires, Argentina.

© NKSISTEMAS 2010