La comunidad de ciberseguridad enfrenta una nueva amenaza crítica tras el descubrimiento de vulnerabilidades en los productos Citrix NetScaler ADC y NetScaler Gateway. Esta nueva falla, denominada informalmente Citrix Bleed 2, presenta características similares al ataque devastador de 2023 y pone en riesgo la seguridad de infraestructuras corporativas a nivel mundial.
Análisis Técnico de las Vulnerabilidades CVE-2025-5777 y CVE-2025-5349
Citrix ha emitido un boletín de seguridad urgente documentando dos vulnerabilidades críticas que requieren atención inmediata. La vulnerabilidad principal CVE-2025-5777 constituye un fallo de lectura fuera de límites (out-of-bounds read) que permite a atacantes no autorizados acceder a regiones protegidas de la memoria del sistema.
Las versiones afectadas de NetScaler incluyen:
• Versiones anteriores a 14.1-43.56
• Releases previos a 13.1-58.32
• Compilaciones especializadas 13.1-37.235-FIPS/NDcPP y 2.1-55.328-FIPS
La segunda vulnerabilidad CVE-2025-5349 involucra una falla en el control de acceso dentro de la interfaz de administración NetScaler Management Interface. Esta debilidad puede ser explotada por ciberdelincuentes que logren acceso a las direcciones IP de gestión del sistema.
Evaluación del Impacto y Exposición Global
Investigaciones realizadas por el especialista en seguridad informática Kevin Beaumont revelan que actualmente existen más de 56,500 endpoints de NetScaler ADC y NetScaler Gateway expuestos públicamente en internet. Aunque el número exacto de sistemas vulnerables permanece sin determinar, el alcance potencial del impacto genera preocupación significativa en la industria.
La gravedad de esta vulnerabilidad radica en su capacidad para permitir la interceptación de tokens de autenticación y sesiones de usuario activas. Los atacantes pueden obtener acceso a información confidencial y eludir la autenticación multifactor, convirtiendo esta falla en un objetivo atractivo para grupos de ransomware y organizaciones de ciberespionaje patrocinadas por estados.
Paralelismos con la Vulnerabilidad Citrix Bleed Original
Esta nueva vulnerabilidad muestra similitudes preocupantes con CVE-2023-4966, conocida como la Citrix Bleed original. El ataque previo fue ampliamente explotado por diversos grupos criminales, incluyendo operadores de ransomware y equipos de ciberespionaje respaldados por gobiernos.
Al igual que su predecesora, la nueva vulnerabilidad afecta dispositivos NetScaler configurados como gateways: servidores virtuales VPN, ICA Proxy, Clientless VPN, RDP Proxy y servidores virtuales AAA, ampliando significativamente la superficie de ataque disponible.
Estrategias de Mitigación y Actualización Inmediata
Para protegerse contra estas nuevas amenazas, los administradores deben implementar actualizaciones inmediatamente a las siguientes versiones:
• NetScaler ADC y NetScaler Gateway 14.1-43.56 o superior
• Versión 13.1-58.32 o releases posteriores
• Compilaciones especializadas 13.1-NDcPP 13.1-37.235 (FIPS) y 12.1-55.328 (FIPS)
Medidas de Seguridad Complementarias
Posterior a la instalación de parches, Citrix recomienda terminar todas las sesiones activas de ICA y PCoIP. Los administradores deben examinar las conexiones existentes para identificar actividad sospechosa utilizando el comando show icaconnection y la interfaz NetScaler Gateway para monitorear sesiones PCoIP.
Aunque Citrix no ha reportado explotación activa de estas vulnerabilidades en entornos de producción, la experiencia con la Citrix Bleed original demuestra que la demora en aplicar parches puede resultar en consecuencias catastróficas. Las organizaciones deben priorizar esta actualización como crítica y ejecutarla con urgencia para salvaguardar su infraestructura contra potenciales ciberataques dirigidos y proteger la integridad de sus sistemas de acceso remoto.
