La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el jueves un defecto crítico de seguridad que afectaba al Citrix Netscaler ADC, y su puerta de entrada a su conocido catálogo de vulnerabilidad explotada (KEV) confirmó oficialmente que la vulnerabilidad ha sido armada en la naturaleza.
El inconveniente del problema es CVE-2025-5777 (puntaje CVSS: 9.3). Esto es cuando un atacante puede explotar una validación de entrada insuficiente que puede evitar la autenticación cuando el dispositivo se configura como una puerta de enlace o un servidor virtual AAA. También se conoce como citrix hemorragia 2 debido a su similitud con el sangrado de Citrix (CVE-2023-4966).
«El Citrix NetScaler ADC y Gateway contienen vulnerabilidades de lectura fuera de rango debido a la validación insuficiente de entrada», dijo la agencia. «Esta vulnerabilidad puede conducir a la memoria general cuando NetScaler está configurado como una puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o servidor virtual AAA».
Desde entonces, varios proveedores de seguridad han informado que los defectos han sido explotados en ataques reales, pero Citrix aún no ha actualizado su propio aviso para reflejar este aspecto. A partir del 26 de junio de 2025, Anil Shetty, vicepresidente senior de ingeniería de Netscaler, dijo que «no hay evidencia que sugiera la explotación de CVE-2025-5777».
Sin embargo, el investigador de seguridad Kevin Beaumont dijo en un informe publicado esta semana que Citrix Bleed 2 de explotación se remonta a mediados de junio, con una de las direcciones IP que llevan a cabo los ataques previamente vinculados a la actividad de ransomware Ransomhub.
Los datos de Greynoise muestran que proviene de 10 direcciones IP maliciosas únicas en Bulgaria, Estados Unidos, China, Egipto y Finlandia en los últimos 30 días. Los objetivos principales de estos esfuerzos son Estados Unidos, Francia, Alemania, India e Italia.
Agregar CVE-2025-5777 al catálogo KEV también es el resultado de otro defecto en el mismo producto (CVE-2025-6543, puntaje CVSS: 9.2). CISA agregó un defecto a su catálogo KEV el 30 de junio de 2025.
El término «citrix hemorragia» se usa para permitir filtraciones de memoria de activación repetidas enviando la misma carga útil. Cada intento intenta «sangrar» de manera efectiva la información confidencial.
«Este defecto puede tener consecuencias desastrosas teniendo en cuenta que los dispositivos afectados se pueden configurar como VPN, proxys o servidores virtuales AAA. Permite la divulgación de tokens de sesión y otros datos confidenciales.
Estos electrodomésticos a menudo actúan como puntos de entrada centralizados para las redes empresariales, lo que permite a los atacantes pivotar desde sesiones robadas para acceder a un único portal de inicio de sesión, un tablero de nubes o interfaces de gestión privilegiadas. Este tipo de movimiento lateral es particularmente peligroso en entornos híbridos de TI donde la segmentación interna es débil cuando el andamio se convierte en el acceso completo de la red de inmediato.
Para mitigar este defecto, las organizaciones deben actualizarse inmediatamente a construcciones parchadas que figuran en el aviso del 17 de junio de Citrix, incluidas las versiones 14.1-43.56 o posteriores. Después de parchear, todas las sesiones activas, especialmente las autenticadas a través de AAA o Gateway, deben ser asesinadas para invalidar el token robado.
Los administradores también recomiendan que inspeccione los registros (como ns.log) para solicitudes sospechosas a puntos finales de autenticación como /p/u/doauthentication.do y verifique las respuestas a datos XML inesperados como campos. La vulnerabilidad es la lectura de memoria y no deja rastros de malware tradicional. Cree un secuestro de tokens y la sesión juega las preocupaciones más urgentes.
El desarrollo sigue a los informes de la explotación agresiva de las vulnerabilidades de seguridad críticas en Osgeo Geoserver Geotools (CVE-2024-36401, CVSS SCORE: 9.8) y despliega el minero de criptomonedas Netcat y XMRIG en ataques con ataques de Corea del Sur con PowerShell y Schell Scripts. CISA agregó un defecto a su catálogo de KEV en julio de 2024.
«Los actores de amenaza dirigen los entornos con instalaciones vulnerables de Geoserver, incluidos Windows y Linux, y tienen instalados NetCat y XMrig Coin Miner», dice AhnLab.
«Cuando se instala Coin Miner, utiliza los recursos del sistema para minificar las monedas de amenaza del actor Monero. Los actores de amenaza pueden usar el NETCAT instalado para realizar una variedad de comportamientos maliciosos, incluida la instalación de otros malware y el robo de información del sistema».
Source link
