Los expertos en ciberseguridad de ReliaQuest han confirmado la explotación activa de una nueva vulnerabilidad crítica denominada Citrix Bleed 2 (CVE-2025-5777) que afecta a los sistemas NetScaler ADC y NetScaler Gateway. Esta amenaza representa un riesgo significativo para las infraestructuras corporativas globales, especialmente considerando la amplia adopción de estas soluciones empresariales.
Características Técnicas de la Vulnerabilidad CVE-2025-5777
La denominación Citrix Bleed 2 hace referencia a su similitud con la vulnerabilidad CVE-2023-4966, que causó estragos en el panorama de ciberseguridad durante 2023. El término fue acuñado por el reconocido investigador de seguridad Kevin Beaumont, quien realizó el primer análisis exhaustivo de esta nueva amenaza.
Técnicamente, CVE-2025-5777 se clasifica como una vulnerabilidad de lectura fuera de límites (out-of-bounds read), un tipo de fallo que permite a los atacantes acceder a información almacenada más allá de los límites del búfer de memoria asignado. Esta característica facilita que actores maliciosos no autenticados intercepten datos sensibles, incluyendo cookies de sesión y credenciales de autenticación.
Sistemas y Configuraciones Vulnerables
La vulnerabilidad impacta específicamente a dispositivos NetScaler configurados como gateways con las siguientes características:
• Servidores virtuales VPN
• Configuraciones ICA Proxy
• Implementaciones Clientless VPN (CVPN)
• Servidores RDP Proxy
• Servidores virtuales AAA
Vectores de Ataque y Consecuencias Potenciales
La explotación de esta vulnerabilidad permite a los ciberdelincuentes obtener acceso no autorizado a información crítica empresarial. Los atacantes pueden interceptar tokens de sesión, credenciales de usuario y datos confidenciales directamente desde gateways públicos y servidores virtuales comprometidos.
Una de las consecuencias más preocupantes es la capacidad de eludir la autenticación multifactor (MFA). Una vez que los atacantes obtienen tokens de sesión válidos, pueden suplantar la identidad de usuarios legítimos, accediendo a recursos corporativos críticos sin necesidad de credenciales adicionales o verificaciones de seguridad.
Evidencia de Explotación en Entornos Reales
Los investigadores de ReliaQuest han documentado un incremento significativo en sesiones sospechosas en dispositivos Citrix durante las últimas semanas. Aunque no se han reportado públicamente ataques masivos, los expertos mantienen un nivel de confianza moderado sobre la explotación activa de esta vulnerabilidad para obtener acceso inicial a entornos corporativos.
Este patrón es consistente con el comportamiento observado durante la explotación de la vulnerabilidad Citrix Bleed original, que posteriormente fue utilizada por grupos de ransomware y actores estatales para ejecutar campañas de ciberataques a gran escala.
Medidas de Mitigación y Actualizaciones de Seguridad
Citrix ha publicado parches de seguridad para remediar esta vulnerabilidad crítica. Se recomienda encarecidamente a los administradores actualizar inmediatamente sus sistemas a las siguientes versiones:
• NetScaler ADC y Gateway versión 14.1-43.56 o superior
• NetScaler ADC y Gateway versión 13.1-58.32 o superior
• NetScaler ADC y Gateway FIPS/NDcPP versión 13.1-37.235 o superior
Acciones Complementarias de Seguridad
Posterior a la instalación de los parches, es fundamental terminar todas las sesiones activas de ICA y PCoIP. Esta medida preventiva evita que los atacantes aprovechen sesiones previamente comprometidas para mantener el acceso persistente a los sistemas.
La aparición de Citrix Bleed 2 subraya la necesidad de implementar estrategias proactivas de ciberseguridad. Las organizaciones deben priorizar la actualización regular de sistemas críticos, implementar monitoreo continuo de actividades anómalas y establecer arquitecturas de seguridad multicapa. La combinación de estas medidas constituye la base para una defensa efectiva contra las amenazas cibernéticas contemporáneas.
