CISA Confirma que la Vulnerabilidad Citrix Bleed 2 Está Siendo Explotada Activamente

HomeNews* CISA agregó una vulnerabilidad crítica de Citrix NetScaler (CVE-2025-5777) a su Catálogo de Vulnerabilidades Conocidas Explotadas después de la confirmación de ataques activos.

• La vulnerabilidad, llamada “Citrix Bleed 2,” permite el eludir la autenticación y lecturas excesivas de memoria, lo que lleva a una posible exposición de datos sensibles.
• Investigadores de seguridad y proveedores han informado sobre la explotación continua por parte de atacantes, a pesar de que Citrix aún no ha actualizado sus propias advertencias.
• Los atacantes apuntan a dispositivos de red críticos, poniendo en riesgo las redes empresariales, mientras CISA recomienda parches inmediatos y la terminación forzada de sesiones.
• Otras vulnerabilidades, como la CVE-2024-36401 en GeoServer, también están siendo utilizadas en ataques, incluido el despliegue de malware de minería de criptomonedas. El 10 de julio de 2025, la Agencia de Ciberseguridad e Infraestructura (CISA) de EE. UU. añadió una falla de seguridad crítica que afecta a Citrix NetScaler ADC y Gateway a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Este movimiento confirma que la vulnerabilidad, identificada como CVE-2025-5777, está siendo utilizada en ciberataques activos.

• Anuncio - CVE-2025-5777, también conocido como “Citrix Bleed 2,” tiene un puntaje CVSS de 9.3. La vulnerabilidad existe debido a una validación de entrada insuficiente. Cuando se explota, permite a los atacantes eludir la autenticación en sistemas configurados como un Gateway o servidor virtual AAA. Este problema causa una sobrelectura de memoria, lo que puede revelar información sensible.

Un informe del investigador de seguridad Kevin Beaumont indicó que la explotación comenzó a mediados de junio. Se informó que una de las direcciones IP de los atacantes estaba vinculada al grupo de Ransomware RansomHub. Los datos de GreyNoise indicaron 10 direcciones IP maliciosas de varios países, siendo Estados Unidos, Francia, Alemania, India e Italia los principales objetivos. Citrix no ha confirmado la actividad de explotación en sus avisos oficiales hasta el 26 de junio de 2025.

El riesgo de la vulnerabilidad es alto porque los dispositivos afectados a menudo sirven como VPN o servidores de autenticación. "Los tokens de sesión y otros datos sensibles pueden ser expuestos — lo que podría permitir el acceso no autorizado a aplicaciones internas, VPN, redes de centros de datos y redes internas," según Akamai. Los expertos advierten que los atacantes pueden obtener un acceso más amplio a las redes corporativas al explotar dispositivos vulnerables y pivotar a otros sistemas internos.

CISA aconseja a todas las organizaciones que actualicen a las versiones corregidas de Citrix enumeradas en su aviso del 17 de junio, como la versión 14.1-43.56 o posterior. Después de aplicar el parche, los administradores deben finalizar todas las sesiones activas para invalidar cualquier token de autenticación robado. Los equipos de seguridad deben revisar los registros en busca de actividades inusuales en los puntos finales de autenticación, ya que esta falla puede permitir el robo de tokens y la repetición de sesiones sin dejar rastros de malware estándar.

En incidentes separados, los atacantes están explotando una vulnerabilidad crítica en OSGeo GeoServer GeoTools (CVE-2024-36401, puntaje CVSS: 9.8) para instalar mineros de monedas NetCat y XMRig en Corea del Sur. Una vez instalados, estos mineros utilizan recursos del sistema para generar criptomonedas, con NetCat permitiendo acciones maliciosas adicionales o robo de datos.

Artículos Anteriores:

• Bitcoin alcanza un récord de $116,000 mientras el rally eleva los mercados de criptomonedas.
• Las stablecoins dominan DeFi, generando preguntas sobre los riesgos de centralización
• Plasma Sets Venta de Tokens del 17 de Julio Antes de la Mainnet, Nuevas Stablecoins
• Reino Unido arresta a cuatro en importantes ataques cibernéticos al por menor en M&S, Co-op, Harrods
• SharpLink se acerca a un récord como el mayor tenedor corporativo de Ethereum

• Publicidad -