La nueva vulnerabilidad crítica CVE-2025-5777, apodada Citrix Bleed 2 y ya explicada por el equipo de Amber Solutions, afecta a NetScaler ADC y Gateway. Es un fallo de lectura fuera de límites de memoria (out-of-bounds read) que permite a atacantes no autenticados acceder a datos sensibles almacenados en memoria, como tokens de sesión, credenciales e incluso evadir MFA. El fallo ha sido relacionado con el famoso Citrix Bleed original (CVE-2023-4966) por su parecido técnico.
¿Se está explotando activamente?
Aunque Citrix afirmó en su blog del 27 de junio que no hay evidencias de explotación, la firma ReliaQuest asegura con confianza media que ya se están observando ataques en entornos reales. Este tipo de contradicciones entre proveedor y comunidad investigadora suelen preceder a campañas más amplias. Según ReliaQuest, se han detectado sesiones Citrix secuestradas sin interacción del usuario, reutilización de sesiones entre IPs legítimas y maliciosas, y actividad de reconocimiento post-explotación con herramientas como ADExplorer64.exe y consultas LDAP, lo que indica una campaña activa de acceso inicial y movimiento lateral.
Vectores de entrada y técnicas observadas en Citrix Bleed 2
- Hijack de sesiones con tokens robados.
- Bypass de MFA usando memoria expuesta.
- Uso de VPNs comerciales (como DataCamp) para esconder infraestructura atacante.
- Reconocimiento interno vía Active Directory una vez dentro
Malware y actores involucrados
No se ha atribuido el ataque a un grupo o malware específico por ahora, pero el nivel de sofisticación sugiere que actores avanzados están detrás. No se descarta que actores conocidos por explotar Citrix en el pasado, como APT5 o FIN11, puedan estar relacionados, dada la naturaleza del vector.
Contexto histórico
Este caso replica patrones vistos en el ataque de 2023 con Citrix Bleed, donde también se vieron secuestros de sesiones y acceso no autorizado. Lo preocupante es que, pese a las lecciones pasadas, la misma superficie de ataque sigue siendo viable.
Recomendaciones urgentes
- Actualizar a las versiones 14.1-43.56+, 13.1-58.32+ o 13.1-FIPS/NDcPP 13.1-37.235+.
- Terminar todas las sesiones ICA y PCoIP activas con comandos
kill icaconnection -allykill pcoipconnection -all. - Revisar las sesiones antes de cerrarlas (
show icaconnection) para detectar actividad anómala. - En caso de no poder parchear de inmediato, limitar el acceso externo a NetScaler vía ACLs o firewalls.
¿Cómo puede ayudarte Amber Solutions?
Este tipo de incidente entra de lleno en nuestros servicios de respuesta a incidentes, análisis forense y gestión de vulnerabilidades. Además, nuestros ejercicios de penetration testing podrían haber detectado vectores similares antes de que fueran explotados.
También ofrecemos servicios de monitorización CTI proactiva, que permite detectar campañas emergentes antes de que tengan impacto real. Recuerda: una vulnerabilidad no parcheada hoy puede ser una brecha mañana.
En Amber Solutions te ayudamos a evitar el Citrix Bleed 2 antes de que sangre tu infraestructura.
Y sí, Citrix Bleed 2 ya está siendo explotado en ataques dirigidos. ¿Vas a esperar a ser el siguiente?
