CVE-2025-5777: Detección de una nueva vulnerabilidad crítica “CitrixBleed 2” en NetScaler ADC en riesgo de explotación

[post-views]
julio 04, 2025 · 5 min de lectura
CVE-2025-5777: Detección de una nueva vulnerabilidad crítica “CitrixBleed 2” en NetScaler ADC en riesgo de explotación

Poco después de la divulgación de dos vulnerabilidades locales de escalada de privilegios relacionadas con Sudo y que afectan a las principales distribuciones de Linux, la atención se ha centrado en un problema de seguridad crítico en NetScaler ADC, que ya ha sido explotado activamente. La vulnerabilidad, identificada como CVE-2025-5777, se describe como un problema de desbordamiento de memoria que puede derivar en un flujo de control inesperado y posibles condiciones de denegación de servicio (DoS). CVE-2025-5777 ha cobrado notoriedad principalmente por su similitud con la vulnerabilidad CVE-2023-4966, también conocida como CitrixBleed, que afectó a las instancias de Citrix NetScaler ADC y Gateway. Como resultado, CVE-2025-5777 ha sido apodada de manera no oficial como “CitrixBleed 2”.

Detectar intentos de explotación de CVE-2025-5777

Con un entorno digital cada vez más complejo, el volumen de nuevas vulnerabilidades identificadas sigue creciendo rápidamente, lo que impone una carga significativa sobre los equipos de ciberseguridad. En lo que va de 2025, NIST ya ha documentado más de 24.000 CVEs, y se estima que esa cifra podría superar las 49.000 antes de finalizar el año.

Regístrate en la plataforma SOC Prime para acceder a un feed global de amenazas activas, con inteligencia de amenazas procesable y contenido de detección curado por expertos para ayudarte a identificar y responder a ataques reales, incluidos los intentos de explotación de la nueva vulnerabilidad CitrixBleed 2.

En particular, la plataforma ofrece una regla dedicada desarrollada por el equipo de SOC Prime para identificar la explotación de CVE-2025-5777 (CitrixBleed 2), que implica filtraciones de memoria en las respuestas, lo que podría conducir al compromiso de tokens de sesión y otros datos sensibles.

Possible CitrixBleed 2 Exploitation Attempt [CVE-2025-5777]

La regla es compatible con 16 plataformas SIEM, EDR y Data Lake, y está alineada con el marco MITRE ATT&CK. Se enfoca en tácticas de Initial Access, siendo la técnica principal la explotación de aplicaciones expuestas públicamente (T1190). Además, cada regla en la plataforma SOC Prime está enriquecida con enlaces CTI, líneas de tiempo de ataques, configuraciones de auditoría y otros metadatos relevantes.

Para acceder al contenido actualizado que detecta la explotación de CitrixBleed 2, los profesionales de seguridad pueden buscar por la etiqueta CVE-2025-5777 en Threat Detection Marketplace o hacer clic en el siguiente botón:

Explorar Detecciones

También puedes explorar nuestro conjunto completo de reglas y consultas relacionadas con la explotación de vulnerabilidades mediante una biblioteca extensa de reglas Sigma, disponible para navegación con una etiqueta CVE dedicada.

Los ingenieros de seguridad también pueden aprovechar Uncoder AI, una IA privada y no agentiva diseñada específicamente para la ingeniería de detección basada en amenazas. Con Uncoder, los defensores pueden:
  • Convertir automáticamente IOCs en consultas de hunting
  • Generar reglas de detección a partir de informes de amenazas
  • Predecir etiquetas ATT&CK
  • Optimizar consultas con IA
  • Traducir contenido de detección entre múltiples plataformas

Análisis de CVE-2025-5777

Ampliando la lista de vulnerabilidades zero-day críticas en Citrix NetScaler, una nueva vulnerabilidad crítica, CVE-2025-5777, apodada “CitrixBleed 2” por su similitud con CVE-2023-4966 (CitrixBleed), ha captado la atención de los investigadores. La peligrosa CVE-2023-4966 permaneció bajo explotación activa incluso después del parche liberado en octubre de 2023.

CVE-2025-5777, con una puntuación CVSS de 9.3, se origina en una validación de entrada insuficiente que permite una lectura fuera de límites en la memoria. Al igual que su predecesora, CitrixBleed 2 aprovecha lecturas de memoria fuera de rango para extraer datos de autenticación, específicamente tokens de sesión, directamente desde la memoria. Estos tokens robados pueden ser utilizados para evadir MFA y secuestrar sesiones activas de usuario, permitiendo acceso no autorizado a sistemas críticos.

Para que la vulnerabilidad sea explotada con éxito, el dispositivo debe estar configurado como Gateway (por ejemplo, servidor virtual VPN, ICA Proxy, CVPN, RDP Proxy) o como servidor virtual AAA.

Si bien ambas fallas permiten eludir autenticación y secuestrar sesiones, CitrixBleed 2 cambia el enfoque de cookies de sesión a tokens de sesión. A diferencia de las cookies, que generalmente están vinculadas a sesiones basadas en navegador, los tokens suelen habilitar mecanismos de autenticación persistente, como interacciones con APIs o sesiones prolongadas de aplicaciones. Esto permite a los atacantes mantener un acceso sigiloso y prolongado, incluso después de que un usuario cierre su navegador o finalice su sesión.

Aunque inicialmente se afirmó que CVE-2025-5777 afectaba la interfaz de administración, esa declaración fue posteriormente eliminada de la base de datos CVE de NIST. No obstante, investigadores de ReliaQuest observaron signos de explotación activa, incluyendo secuestro de sesiones, uso de IPs asociadas a VPNs comerciales y herramientas indicativas de reconocimiento de Active Directory.

La vulnerabilidad afecta las siguientes versiones soportadas de NetScaler ADC y Gateway:
  • 14.1 antes de 14.1-43.56
  • 13.1 antes de 13.1-58.32
  • 13.1-FIPS/NDcPP antes de 13.1-37.235
  • 12.1-FIPS antes de 12.1-55.328

Las versiones 12.1 y 13.0 están fuera de soporte (End-of-Life) y permanecen vulnerables. Citrix insta a los clientes a actualizar a versiones corregidas compatibles como medida de mitigación inmediata de CVE-2025-5777. Además, el proveedor recomienda ejecutar comandos específicos para terminar todas las sesiones activas ICA y PCoIP una vez que todos los dispositivos NetScaler en un clúster o par de alta disponibilidad hayan sido actualizados. Esta acción garantiza que cualquier sesión potencialmente comprometida iniciada antes del parche sea cerrada forzosamente, minimizando el riesgo de actividad post-explotación.

Con más de 69.000 instancias expuestas de NetScaler Gateway y ADC actualmente en línea, el riesgo de explotación continúa creciendo. Aunque aún no se ha confirmado el número exacto de sistemas vulnerables en producción, muchos expertos de la comunidad de seguridad esperan que CitrixBleed 2 sea objeto de abuso activo en el corto plazo.

Para detectar proactivamente posibles intentos de explotación, los equipos de seguridad pueden apoyarse en la suite completa de productos de SOC Prime, respaldada por inteligencia artificial, capacidades de automatización e inteligencia de amenazas en tiempo real, fortaleciendo así las defensas organizacionales a escala.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Publicaciones relacionadas