Nueva vulnerabilidad crítica en Citrix NetScaler, apodada CitrixBleed 2 (CVE-2025-5777), permite a atacantes no autenticados robar sesiones activas y evadir MFA. Afecta dispositivos expuestos como Gateways y recuerda al fallo explotado en 2023 por actores de amenazas financiados por estados y operadores de ransomware. Se recomienda parchear de inmediato y terminar todas las sesiones activas.
Keypoints
Citrix ha revelado una nueva vulnerabilidad crítica en NetScaler ADC y Gateway que está siendo apodada CitrixBleed 2 (CVE-2025-5777), por su semejanza con la infame CVE-2023-4966 (CitrixBleed original). La falla permite a atacantes no autenticados realizar lecturas fuera de los límites de memoria, exponiendo tokens de sesión, credenciales y otros datos sensibles. La explotación de esta vulnerabilidad puede resultar en el secuestro de sesiones y la omisión de autenticación multifactor (MFA).
En paralelo, se reveló una segunda vulnerabilidad de alta severidad (CVE-2025-5349) relacionada con control de accesos inapropiado a la interfaz de gestión, accesible mediante IPs de administración (NSIP, Cluster IP, GSLB IP).
Vectores de entrada
- Dispositivos NetScaler configurados como Gateway: VPN virtual, ICA Proxy, Clientless VPN, RDP Proxy o AAA virtual server.
- Acceso a IPs de administración para la explotación de CVE-2025-5349.
- Exposición pública: se han detectado más de 56,500 endpoints NetScaler accesibles desde internet, según Kevin Beaumont.
Detalles sobre la campaña y precedentes
Aunque aún no se ha confirmado explotación activa (in the wild), expertos como Charles Carmakal (Mandiant) y Kevin Beaumont advierten que no seguir buenas prácticas post-parcheo (como eliminar sesiones activas) podría dejar vectores abiertos, tal como ocurrió en 2023 con CitrixBleed, que fue aprovechada en campañas de espionaje estatal y ransomware.
Potencial atribución
Si bien no se ha atribuido esta nueva vulnerabilidad a actores específicos, históricamente el CitrixBleed original fue explotado por grupos financiados por estados y grupos de ransomware, por lo que se presume un interés similar en esta nueva variante.
Contexto histórico
El CitrixBleed original (CVE-2023-4966) dejó una marca profunda en la comunidad al ser explotado incluso después del parcheo debido a sesiones activas no terminadas. La historia se repite, y ahora CitrixBleed 2 podría dar paso a una nueva oleada de ataques si no se actúa con celeridad.
Recomendaciones de Amber Solutions
Este caso representa un incidente de seguridad crítico, ideal para nuestro servicio de gestión de vulnerabilidades y respuesta a incidentes. Además, sería clave aplicar servicios de penetration testing para validar la exposición real y consultoría de hardening en entornos Citrix.
Amber Solutions puede ayudarte a evitar escenarios como CitrixBleed 2 implementando pruebas de intrusión específicas para dispositivos NetScaler, auditorías de configuración de gateways y controles de acceso, y análisis de tráfico para detección proactiva de secuestro de sesiones.
Si tu organización utiliza Citrix, es momento de actuar: revisa tus versiones, aplica los parches recomendados, y termina todas las sesiones activas. Y recuerda: CitrixBleed 2 no perdona la falta de proactividad.
