La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha incluido CVE-2025-5777, bautizada como CitrixBleed 2, en su catálogo de vulnerabilidades explotadas conocidas (KEV) y, de forma excepcional, exige a las agencias federales aplicar el parche en 24 horas. La razón: hay campañas activas que extraen tokens de sesión y credenciales de los dispositivos Citrix NetScaler ADC y NetScaler Gateway sin necesidad de autenticación.
¿En qué consiste la vulnerabilidad?
- Tipo: lectura fuera de límites (memory over-read) debida a validación insuficiente de entradas.
- Impacto práctico: permite a un atacante remoto leer memoria de la appliance, obtener cookies de sesión y bypassear MFA, tomando el control de cuentas legítimas.
- Relación con el CitrixBleed original (2023-4966): el vector es similar (exfiltración de tokens), pero el fallo afecta a versiones más recientes y se combina con CVE-2025-6543, un buffer overflow también añadido al KEV.
Versiones afectadas y parches
| Producto | Rama vulnerable | Versión segura |
|---|---|---|
| NetScaler ADC / Gateway 14.1 | < 14.1-47.46 | 14.1-47.46 o posterior |
| NetScaler ADC / Gateway 13.1 | < 13.1-59.19 | 13.1-59.19 o posterior |
| NetScaler ADC 13.1-FIPS / NDcPP | < 13.1-37.236-FIPS | 13.1-37.236-FIPS o posterior |
| Versiones 13.0 y 12.1 (EoL) | Sin parche oficial — migrar cuanto antes | — |
Citrix publicó los hotfixes el 27 de junio de 2025 y recomienda actualizar inmediatamente o, si no es posible, aislar las instancias expuestas a Internet.
¿Por qué la urgencia de CISA?
- Firmas como ReliaQuest y watchTowr han detectado exploit kits que automatizan la extracción de sesiones y la carga de webshells.
- Akamai reporta un pico de escaneos masivos contra el puerto 443 de NetScaler en la primera semana de julio.
- CISA ha emitido la orden de parcheo en 24 h —frente al plazo habitual de 21 días— para frenar la propagación lateral en entornos federales.
Impacto potencial
- Secuestro de sesión y acceso persistente a portales corporativos con MFA desactivado de facto.
- Movimiento lateral hacia servidores internos publicados tras el Gateway.
- Filtrado de datos sensibles desde aplicaciones tras un Citrix ADC configurado como VPN.
- Riesgo de RCE si se encadena con CVE-2025-6543 u otras fallas de post-explotación.
Recomendaciones
- Actualizar ya a las versiones corregidas; migrar dispositivos en EoL.
- Revocar todas las sesiones activas tras el parche (tokens y cookies).
- Revisar los registros de
ns.logyhttpaccess.logbuscando patrones de lectura anómala en/vpn/y accesos anewbm.pl. - Si la actualización se retrasa, aislar el Gateway tras un WAF o restringir por IP, y deshabilitar accesos no esenciales.
- Seguir la guía de Citrix “Steps to take if NetScaler ADC is suspected to be compromised” para forense y hardening.
Más información
- TechRadar – CISA warns hackers are actively exploiting CitrixBleed 2
- Tenable – FAQ sobre CVE-2025-5777 y 6543
- Citrix – Security bulletin para CVE-2025-6543
- CISA – KEV: CVE-2025-6543
- Ars Technica – CitrixBleed 2 lleva semanas bajo explotación activa
La entrada CISA enciende las alarmas: CitrixBleed 2 ya se explota para secuestrar sesiones en NetScaler ADC/Gateway se publicó primero en Una Al Día.
