(https://www.bleepstatic.com/content/hl-images/2023/07/20/Citrix-headpic.jpg)
Una vulnerabilidad crítica de Citrix NetScaler, identificada como CVE-2025-5777 y denominada "CitrixBleed 2", fue explotada activamente casi dos semanas antes de que se hicieran públicas las pruebas de concepto (PoC), a pesar de que Citrix declaró que no había evidencia de ataques.
GreyNoise ha confirmado que sus honeypots detectaron una explotación dirigida desde direcciones IP ubicadas en China el 23 de junio de 2025.
"GreyNoise ha observado intentos de explotación activos contra CVE-2025-5777 (CitrixBleed 2), una vulnerabilidad de sobrelectura de memoria en Citrix NetScaler. La explotación comenzó el 23 de junio, casi dos semanas antes de que se publicara una prueba de concepto (PoC) el 4 de julio", explica GreyNoise.
Creamos una etiqueta el 7 de julio para rastrear esta actividad. Dado que GreyNoise asocia retroactivamente el tráfico previo a la etiqueta con las nuevas etiquetas, los intentos de explotación previos ahora son visibles en el Visualizador de GreyNoise.
Gráfico de GreyNoise que muestra direcciones IP únicas dirigidas a Citrix Bleed 2
(https://www.bleepstatic.com/images/news/security/c/citrix/citrixbleed-2/greynoise-graph-citrixbleed2.jpg)
GreyNoise confirmó a la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) el 9 de julio que la falla se estaba explotando activamente, lo que provocó que la agencia cibernética la añadiera a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y diera a las agencias federales un día para corregirla.
GreyNoise compartió el exploit utilizado en los ataques de junio con BleepingComputer y podemos confirmar que se trata del de Citrix Bleed 2, lo que demuestra que los actores de amenazas lo estaban explotando activamente antes de la publicación de las PoC.
A pesar de estas primeras señales y las reiteradas advertencias del investigador de seguridad Kevin Beaumont, Citrix aún no había reconocido la explotación activa en su aviso de seguridad para CVE-2025-5777. Actualizó discretamente su entrada de blog del 26 de junio el 11 de julio, después de que apareciera en la base de datos de KEV el día anterior.
Citrix finalmente publicó otra entrada de blog el 15 de julio sobre cómo evaluar los registros de NetScaler en busca de indicadores de vulnerabilidad.
Sin embargo, a pesar de esto, la compañía ha recibido fuertes críticas por su falta de transparencia y por compartir los IOC que, según informaron los investigadores a BleepingComputer, ya se habían compartido con la compañía.
Citrix tampoco ha respondido a las preguntas de BleepingComputer sobre por qué el aviso original CVE-2025-5777 aún no reconoce su explotación.
La vulnerabilidad Citrix Bleed 2
Citrix Bleed 2 es una vulnerabilidad crítica de gravedad 9.3 causada por una validación de entrada insuficiente, que permite a los atacantes enviar solicitudes POST mal formadas a dispositivos NetScaler durante los intentos de inicio de sesión.
Esto se explota omitiendo el signo igual en el parámetro "login=", lo que provoca una fuga de 127 bytes de memoria del dispositivo. Investigadores de Horizon3 y WatchTowr demostraron que las solicitudes repetidas pueden utilizarse para exponer datos confidenciales, como tokens de sesión válidos.
Estos tokens pueden utilizarse para secuestrar sesiones de Citrix y obtener acceso no autorizado a recursos internos.
El investigador de seguridad Kevin Beaumont ha declarado anteriormente que las repetidas solicitudes POST a /doAuthentication.do en los registros de NetScaler son un buen indicio de que alguien está intentando explotar la vulnerabilidad, especialmente cuando la solicitud incluye un encabezado Content-Length: 5.
Otros indicios incluyen entradas de registro que muestran cierres de sesión de usuarios donde el nombre de usuario contiene caracteres inusuales, como "#", o contenido de memoria impreso en campos incorrectos.
Beaumont también advirtió que las directrices de Citrix no logran borrar por completo las sesiones comprometidas.
Si bien Citrix recomienda terminar las sesiones ICA y PCoIP mediante kill icaconnection -all y kill pcoipConnection -all, Beaumont también aconseja terminar otros tipos de sesiones que puedan haber secuestrado sesiones:
kill pcoipConnection -all
kill icaconnection -all
kill rdpConnection -all
kill sshConnection -all
kill telnetConnection -all
kill connConnection -all
kill aaa session -all
Los administradores también deben revisar todas las sesiones antes de cerrarlas para detectar inicios de sesión sospechosos, como cambios inesperados de dirección IP o usuarios no autorizados.
La publicación del blog de Citrix del 15 de julio ofrece más orientación para identificar indicios de explotación, como entradas de registro con los siguientes mensajes:
"Autenticación rechazada para"
"Mensaje AAA"
Valores de bytes no ASCII (0x80–0xFF)
Los registros de sesión también pueden inspeccionarse manualmente para detectar cambios inusuales de dirección IP asociados a la misma sesión. Por ejemplo, en los registros de VPN, una discrepancia entre la dirección IP del cliente y la dirección IP de origen puede indicar que una sesión fue secuestrada.
En una publicación reciente, Beaumont afirma haber estado rastreando la explotación desde junio, con más de 120 empresas ya comprometidas por la vulnerabilidad.
"El acceso comenzó el 20 de junio de 2025 y se incrementó gradualmente desde el 21 de junio hasta la fecha de redacción", advierte Beaumont.
Creo que la actividad que observo podría corresponder a un solo grupo de actores de amenazas; podría haber más. Seleccionan cuidadosamente a las víctimas, perfilando Netscaler antes de atacar para asegurarse de que sea una vulnerabilidad real; por ejemplo, no cayeron en ninguno de mis honeypots.
El investigador también advierte que el propio firewall de aplicaciones web de Citrix actualmente no detecta la explotación de CVE-2025-5777. Sin embargo, Imperva informa que su producto ha detectado más de 11,5 millones de intentos de explotación de esta vulnerabilidad, de los cuales el 40 % se dirige al sector financiero.
Citrix ha publicado parches para las versiones NetScaler ADC y Gateway y recomienda encarecidamente las actualizaciones inmediatas.
No existen mitigaciones más allá de la aplicación de parches, y los clientes que ejecutan versiones al final de su vida útil (12.1 y 13.0) deben actualizar a compilaciones compatibles.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/citrix-bleed-2-exploited-weeks-before-pocs-as-citrix-denied-attacks/