La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el lunes cuatro defectos de seguridad a su conocido catálogo de vulnerabilidades explotadas (KEV), citando evidencia de explotación activa en la naturaleza.
Aquí hay una lista de defectos –
CVE-2014-3931 (CVSS score: 9.8) – Multi-router-looking glass (MRLG) buffer overflow vulnerability that allows remote attackers to cause arbitrary memory writes and memory corruption CVE-2016-10033 (CVSS score: 9.8) Application or as a result, Denial of Service (DOS) Condition CVE-2019-5418 (CVSS score: 7.5)-Ruby On Rails Vista de acción Vulnerabilidad transversal CVE-2019-9621 (CVSS: 7.5SS: 7.5SS: 7.5SS: 7.5SS: 7.5SS: 7.5SS: 7.5SS: 7.5) Suite de colaboración Zimbra que puede conducir a acceso no amortizado a recursos internos y un código remoto Ejecución.
Actualmente, no hay informes públicos sobre cómo se explotan las tres primeras vulnerabilidades en los ataques reales. Mientras tanto, el abuso de CVE-2019-9621 se atribuyó a una reducción de webshell y cobalto por tendencia a un actor de amenaza relacionado con chino conocido como Earthluska en septiembre de 2023.
A la luz de la explotación activa, se recomienda una agencia de la División Federal de Control de Control privada (FCEB) para aplicar las actualizaciones necesarias para garantizar la red antes del 28 de julio de 2025.
Detalles técnicos para Citrix Bleed 2
El desarrollo ha publicado un análisis técnico de fallas clave de seguridad en WatchTowr Labs y Horizon3.Citrix Netscaler ADC (CVE-2025-577777AKA Citrix Bleed 2).
«En la naturaleza, vemos la explotación activa de CVE-2025-5777 y CVE-2025-6543», dijo el CEO de Watchwal, Benjamin Harris, a Hacker News. «La vulnerabilidad permite la lectura de memoria. Creemos que un atacante lo está utilizando para leer información confidencial (por ejemplo, la información enviada dentro de una solicitud HTTP se procesa en la memoria), las credenciales, los tokens de sesión de Citrix válidos y más».
Los resultados muestran que se puede enviar una solicitud de inicio de sesión al punto final «/p/u/doauthentication.do», que puede hacer que refleje el valor de inicio de sesión que el usuario de respuesta ha suspendido (y otros puntos finales) independientemente del éxito o el fracaso.
Tenga en cuenta que Horizon3.ai puede usar la vulnerabilidad para filtrar alrededor de 127 bytes de datos a través de solicitudes HTTP especialmente creadas usando «Login =», que se modifica sin signos o valores iguales.
WatchToWr explicó que tiene el inconveniente de ser atribuido al uso de la función SNPRINTF, junto con una cadena de formato que contiene el formato «%.*S».
«El formato %.*S le dice SnPrintf: ‘Impírelo en N caracteres o deténgase en el primer byte nulo (\\ 0), ya sea el primero». Ese byte nulo eventualmente aparecerá en algún lugar de la memoria, por lo que la filtración no se ejecutará indefinidamente, pero obtendrá un pequeño número de bytes con cada llamada «, dijo la compañía.
«Entonces, cada vez que presiona ese punto final sin = extrae más datos de pila inicializados en la respuesta. Puede repetirse lo suficiente y finalmente terminar aterrizando en algo que vale la pena».
Source link
