vulnerabilidades zero day en citrix netscaler miles de servidores en peligro

Vulnerabilidades zero-day en Citrix NetScaler: miles de servidores en peligro

PorCarlos Ribeiro

Miles de instancias de Citrix NetScaler expuestas a internet están en riesgo de sufrir ataques dirigidos a dos vulnerabilidades críticas recientemente descubiertas. Lo preocupante es que una de ellas ya está siendo explotada activamente como zero-day, lo que eleva considerablemente el nivel de alerta.

Dos vulnerabilidades críticas con máxima gravedad

Estamos ante dos fallos de seguridad que deberían preocuparnos seriamente: CVE-2025-5777 (con una puntuación CVSS de 9.3) y CVE-2025-6543 (con una puntuación CVSS de 9.2). Ambas afectan a las instancias de NetScaler configuradas como puertas de enlace para acceso remoto o como servidores virtuales AAA.

El primer fallo (CVE-2025-5777) se describe técnicamente como una «validación insuficiente de entrada», mientras que el segundo (CVE-2025-6543) es un problema de «desbordamiento de memoria». No son términos que impresionen al lector común, pero sus consecuencias sí que deberían hacerlo:

  • La explotación de CVE-2025-5777 puede provocar lecturas de memoria fuera de límites
  • El aprovechamiento de CVE-2025-6543 puede causar un flujo de control no deseado y denegación de servicio (DoS)

En términos prácticos, esto significa que un atacante podría tomar el control de los sistemas afectados o, como mínimo, dejarlos inoperativos.

CitrixBleed2: la historia se repite

Poco después de que Citrix revelara la existencia de CVE-2025-5777 el 17 de junio, el investigador de seguridad Kevin Beaumont señaló su similitud con CVE-2023-4966, conocida como CitrixBleed, y advirtió que decenas de miles de instancias potencialmente afectadas eran visibles en internet.

La semana pasada, la empresa de ciberseguridad ReliaQuest afirmó estar viendo evidencias de que CVE-2025-5777 podría estar siendo explotada activamente para conseguir acceso inicial a sistemas comprometidos. Han bautizado esta vulnerabilidad como CitrixBleed2, indicando que puede ser explotada para eludir la autenticación y facilitar el secuestro de sesiones.

Parece que estamos ante un déjà vu bastante preocupante. El año pasado, CitrixBleed causó estragos en muchas organizaciones y ahora nos encontramos con una secuela que podría ser igual o más dañina.

Zero-day confirmado: la amenaza es real

El 25 de junio, Citrix elevó el nivel de alarma al confirmar que CVE-2025-6543 ya estaba siendo explotada como vulnerabilidad zero-day, instando a los administradores a aplicar parches inmediatamente. La compañía señaló que las versiones descontinuadas de NetScaler ADC y NetScaler Gateway 12.1 y 13.0 también están afectadas.

Para quienes no estén familiarizados con el término, una vulnerabilidad zero-day es aquella que se explota antes de que exista un parche disponible, dejando a los usuarios sin protección durante un período crítico. Es como si los ladrones conocieran una entrada secreta a tu casa antes de que tú supieras que existe.

La gravedad de la situación llevó a la agencia de ciberseguridad estadounidense CISA a añadir CVE-2025-6543 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 30 de junio, exigiendo a las agencias federales que parcheen las instancias vulnerables antes del 21 de julio.

Miles de servidores expuestos y vulnerables

Los datos actuales sobre la exposición son alarmantes. Tanto Censys como The Shadowserver Foundation advierten que miles de instancias de NetScaler potencialmente vulnerables están expuestas a internet.

Censys ha detectado más de 69,000 implementaciones accesibles vía web, aunque solo ha podido confirmar el impacto de estas vulnerabilidades en 130 de ellas. Esto no significa que las demás estén seguras; simplemente que no se ha podido verificar su estado.

Por su parte, The Shadowserver Foundation reporta que, a fecha de 29 de junio, había:

  • 1,289 servidores NetScaler vulnerables a CVE-2025-5777
  • 2,100 instancias vulnerables a CVE-2025-6543

Estos números representan objetivos potenciales para actores maliciosos que, como bien sabemos, no suelen dejar pasar oportunidades como esta.

La urgencia de aplicar parches

Dada la criticidad de estas vulnerabilidades y el interés demostrado por los ciberdelincuentes en explotar fallos en productos Citrix, las organizaciones deben parchear sus instancias de NetScaler lo antes posible.

No estamos hablando de una recomendación teórica: hay evidencia de explotación activa de al menos una de estas vulnerabilidades. El hecho de que la CISA haya establecido un plazo para las agencias federales debería servir como indicador de la urgencia.

Prioridad y estrategia de mitigación

Si tu organización utiliza productos Citrix NetScaler, la prioridad debería ser clara:

  1. Identificar todas las instancias de NetScaler en tu red
  2. Verificar si están expuestas a internet
  3. Aplicar los parches disponibles inmediatamente
  4. Implementar medidas adicionales de monitorización para detectar posibles intentos de explotación

Para organizaciones con sistemas críticos, podría ser necesario evaluar el impacto potencial del parche antes de implementarlo, pero este proceso debe acelerarse dado el riesgo actual.

Las vulnerabilidades zero-day no esperan a que estemos preparados, y esta no es una excepción. La diferencia entre actuar ahora o esperar podría determinar si tu organización aparece en los titulares por las razones equivocadas.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *