La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el jueves un defecto de seguridad crítico que afectó a Citrix Netscaler ADC y Gateway a su catálogo de vulnerabilidades explotadas (KEV) conocidas, lo que confirma oficialmente que la vulnerabilidad ha sido armada en la naturaleza.
La deficiencia en cuestión es CVE-2025-5777 (puntaje CVSS: 9.3), una instancia de empuje de entrada insuficiente que podría ser explotada por un atacante para evitar la autenticación cuando el dispositivo está configurado como una puerta de enlace o un servidor aparente AAA. Todavía se ardor Citrix sangría 2 Oportuno a sus similitudes con citrix hemorragia (CVE-2023-4966).
«Citrix Netscaler ADC y Gateway contienen una vulnerabilidad de ojeada fuera de los límites correcto a la empuje insuficiente de entrada», dijo la agencia. «Esta vulnerabilidad puede conducir a la memoria sobrecargada cuando el NetScaler está configurado como una puerta de enlace (servidor VPN Posible, proxy ICA, CVPN, proxy RDP) o servidor aparente AAA».
Aunque desde entonces múltiples proveedores de seguridad han informado que la error ha sido explotada en ataques del mundo vivo, Citrix aún no ha actualizado sus propias avisos para reverberar este aspecto. A partir del 26 de junio de 2025, Anil Shetty, vicepresidente senior de ingeniería de Netscaler, dijo: «No hay evidencia que sugiera la explotación de CVE-2025-5777».
Sin requisa, el investigador de seguridad Kevin Beaumont, en un crónica publicado esta semana, dijo que la explotación Citrix Bleed 2 comenzó a mediados de junio, y agregó que una de las direcciones IP que llevan a final los ataques se ha vinculado previamente con la actividad de ransomware de Ransomhub.
Los datos de Greynoise muestran que los esfuerzos de explotación se originan en 10 direcciones IP maliciosas únicas ubicadas en Bulgaria, Estados Unidos, China, Egipto y Finlandia en los últimos 30 días. Los objetivos principales de estos esfuerzos son los Estados Unidos, Francia, Alemania, India e Italia.
La añadido de CVE-2025-5777 al catálogo de KEV se produce como otra error en el mismo producto (CVE-2025-6543, puntaje CVSS: 9.2) incluso ha sido de explotación activa en la naturaleza. CISA agregó el defecto al catálogo de KEV el 30 de junio de 2025.
«El término ‘citrix hemorragia’ se usa porque la fuga de memoria se puede activar repetidamente enviando la misma carga útil, con cada intento filtrar una nueva parte de la memoria de la pila, efectivamente la información confidencial ‘sangrante'», dijo Akamai, advertir de un «aumento drástico del tráfico del escáner de vulnerabilidad» luego de la explotación de detalles de explotación.
«Este defecto puede tener consecuencias graves, considerando que los dispositivos afectados pueden configurarse como VPN, proxies o servidores virtuales AAA. Tokens de sesión y otros datos confidenciales pueden expuestos, lo que puede ser potencialmente camino no facultado a aplicaciones internas, VPN, redes de centros de datos y redes internas».
Oportuno a que estos electrodomésticos a menudo sirven como puntos de entrada centralizados en redes empresariales, los atacantes pueden pivotar desde sesiones robadas para alcanzar a portales de inicio de sesión único, paneles de nubes o interfaces de dependencia privilegiadas. Este tipo de movimiento adjunto, donde un punto de apoyo se convierte rápidamente en camino completo a la red, es especialmente peligroso en entornos híbridos de TI con segmentación interna débil.
Para mitigar este defecto, las organizaciones deben actualizarse inmediatamente a las construcciones parcheadas que figuran en el aviso del 17 de junio de Citrix, incluida la lectura 14.1-43.56 y más tarde. Luego de parchear, todas las sesiones activas, especialmente las autenticadas a través de AAA o Gateway, deben finalizarse por la fuerza para invalidar los tokens robados.
Todavía se alienta a los administradores a inspeccionar registros (por ejemplo, ns.log) para solicitudes sospechosas a puntos finales de autenticación como /p/u/doauthentication.do, y revise las respuestas para datos XML inesperados como
El incremento incluso sigue los informes de la explotación activa de una vulnerabilidad de seguridad crítica en Osgeo Geoserver Geotools (CVE-2024-36401, CVSS SCUENT: 9.8) para implementar Netcat y el minero de criptomonedas XMRIG en ataques dirigidos por Corea del Sur por medio de los scripts de PowerShell y Shell. CISA agregó el defecto al catálogo de KEV en julio de 2024.
«Los actores de amenaza están dirigidos a entornos con instalaciones vulnerables de Geoserver, incluidas las de Windows y Linux, y han instalado NetCat y XMrig Coin Miner», dijo Ahnlab.
«Cuando se instala un minero de monedas, utiliza los capital del sistema para extraer las monedas Monero del actor de amenaza. El actor de amenaza puede usar el NetCat instalado para realizar varios comportamientos maliciosos, como instalar otro malware o robar información del sistema».
