La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el jueves un defecto de seguridad crítico que afectó a Citrix Netscaler ADC y Gateway a su catálogo de vulnerabilidades explotadas (KEV) conocidas, lo que confirma oficialmente que la vulnerabilidad ha sido armada en la naturaleza.
La deficiencia en cuestión es CVE-2025-5777 (puntaje CVSS: 9.3), una instancia de validación de entrada insuficiente que podría ser explotada por un atacante para evitar la autenticación cuando el dispositivo está configurado como una puerta de enlace o un servidor virtual AAA. También se llama Citrix sangrado 2 Debido a sus similitudes con citrix hemorragia (CVE-2023-4966).
«Citrix Netscaler ADC y Gateway contienen una vulnerabilidad de lectura fuera de los límites debido a la validación insuficiente de entrada», dijo la agencia. «Esta vulnerabilidad puede conducir a la memoria sobrecargada cuando el NetScaler está configurado como una puerta de enlace (servidor VPN Virtual, proxy ICA, CVPN, proxy RDP) o servidor virtual AAA».
Aunque desde entonces múltiples proveedores de seguridad han informado que la falla ha sido explotada en ataques del mundo real, Citrix aún no ha actualizado sus propias avisos para reflejar este aspecto. A partir del 26 de junio de 2025, Anil Shetty, vicepresidente senior de ingeniería de Netscaler, dijo: «No hay evidencia que sugiera la explotación de CVE-2025-5777».
Sin embargo, el investigador de seguridad Kevin Beaumont, en un informe publicado esta semana, dijo que la explotación Citrix Bleed 2 comenzó a mediados de junio, y agregó que una de las direcciones IP que llevan a cabo los ataques se ha vinculado previamente con la actividad de ransomware de Ransomhub.
Los datos de Greynoise muestran que los esfuerzos de explotación se originan en 10 direcciones IP maliciosas únicas ubicadas en Bulgaria, Estados Unidos, China, Egipto y Finlandia en los últimos 30 días. Los objetivos principales de estos esfuerzos son los Estados Unidos, Francia, Alemania, India e Italia.
La adición de CVE-2025-5777 al catálogo de KEV se produce como otra falla en el mismo producto (CVE-2025-6543, puntaje CVSS: 9.2) también ha sido de explotación activa en la naturaleza. CISA agregó el defecto al catálogo de KEV el 30 de junio de 2025.
«El término ‘citrix hemorragia’ se usa porque la fuga de memoria se puede activar repetidamente enviando la misma carga útil, con cada intento filtrar una nueva parte de la memoria de la pila, efectivamente la información confidencial ‘sangrante'», dijo Akamai, advertir de un «aumento drástico del tráfico del escáner de vulnerabilidad» después de la explotación de detalles de explotación.
«Este defecto puede tener consecuencias graves, considerando que los dispositivos afectados pueden configurarse como VPN, proxies o servidores virtuales AAA. Tokens de sesión y otros datos confidenciales pueden expuestos, lo que puede ser potencialmente acceso no autorizado a aplicaciones internas, VPN, redes de centros de datos y redes internas».
Debido a que estos electrodomésticos a menudo sirven como puntos de entrada centralizados en redes empresariales, los atacantes pueden pivotar desde sesiones robadas para acceder a portales de inicio de sesión único, paneles de nubes o interfaces de administración privilegiadas. Este tipo de movimiento lateral, donde un punto de apoyo se convierte rápidamente en acceso completo a la red, es especialmente peligroso en entornos híbridos de TI con segmentación interna débil.
Para mitigar este defecto, las organizaciones deben actualizarse inmediatamente a las construcciones parcheadas que figuran en el aviso del 17 de junio de Citrix, incluida la versión 14.1-43.56 y más tarde. Después de parchear, todas las sesiones activas, especialmente las autenticadas a través de AAA o Gateway, deben finalizarse por la fuerza para invalidar los tokens robados.
También se alienta a los administradores a inspeccionar registros (por ejemplo, ns.log) para solicitudes sospechosas a puntos finales de autenticación como /p/u/doauthentication.do, y revise las respuestas para datos XML inesperados como
El desarrollo también sigue los informes de la explotación activa de una vulnerabilidad de seguridad crítica en Osgeo Geoserver Geotools (CVE-2024-36401, CVSS SCUENT: 9.8) para implementar Netcat y el minero de criptomonedas XMRIG en ataques dirigidos por Corea del Sur por medio de los scripts de PowerShell y Shell. CISA agregó el defecto al catálogo de KEV en julio de 2024.
«Los actores de amenaza están dirigidos a entornos con instalaciones vulnerables de Geoserver, incluidas las de Windows y Linux, y han instalado NetCat y XMrig Coin Miner», dijo Ahnlab.
«Cuando se instala un minero de monedas, utiliza los recursos del sistema para extraer las monedas Monero del actor de amenaza. El actor de amenaza puede usar el NetCat instalado para realizar varios comportamientos maliciosos, como instalar otro malware o robar información del sistema».