¡Más de 50,000 Dispositivos en Riesgo! La Brecha de Citrix Que Nadie Parcheó

Citrix ha revelado dos vulnerabilidades críticas: CVE-2025-5777 (apodada “CitrixBleed 2”) y CVE-2025-5349, que afectan a dispositivos NetScaler ADC y Gateway. Estas fallas permiten a atacantes no autenticados leer directamente datos sensibles desde la memoria del dispositivo, lo que podría permitir secuestro de sesiones activas, elusión de MFA, y acceso no autorizado a redes corporativas.

Comprendiendo las Vulnerabilidades

CVE-2025-5777 – “CitrixBleed 2”

• Tipo: Lectura de memoria fuera de límites (out-of-bounds)
• Superficie de Ataque: Instancias NetScaler configuradas como:
  • Servidores virtuales VPN
  • Proxy ICA
  • VPN sin cliente (CVPN)
  • Proxy RDP
  • Servidor de autenticación AAA
• Impacto: Permite a un atacante acceder a:
  • Tokens de sesión activos
  • Credenciales
  • Secretos de autenticación

Es una vulnerabilidad comparable a CVE-2023-4966, ampliamente explotada en 2023 por actores estatales y grupos de ransomware.

CVE-2025-5349 – Control de Acceso Inadecuado

• Afecta a: Interfaz de administración de NetScaler
• Requisitos: Acceso a IPs como NSIP, IP de clúster o GSLB local
• Impacto: Posible acceso no autorizado a configuraciones administrativas

¿Cómo Se Explotan Estas Vulnerabilidades?

Fuga de Tokens y Secuestro de Sesión

CVE-2025-5777 permite a los atacantes enviar solicitudes especialmente diseñadas para leer áreas de memoria donde se almacenan tokens de autenticación.

Cadena de ataque ejemplo:

1. El atacante escanea internet en busca de dispositivos NetScaler vulnerables.
2. Envía peticiones sin autenticación para leer la memoria.
3. Extrae tokens de sesión válidos, incluso con MFA.
4. Reutiliza los tokens para acceder a portales internos.
5. Se mueve lateralmente o escala privilegios.

No es necesario evadir MFA, ya que se roba una sesión ya autenticada.

Ejemplo de Explotación CVE-2025-5349

• El atacante accede a una IP de gestión expuesta (NSIP).
• Aprovecha fallas de control de acceso para ejecutar comandos o extraer información sensible del sistema.

Riesgos Reales para las Organizaciones

• Más de 56,000 dispositivos NetScaler están expuestos públicamente.
• Sectores como gobierno, salud y finanzas son usuarios frecuentes.
• Los atacantes pueden acceder a:
  • Escritorios virtuales
  • Interfaces administrativas
  • Comparticiones de archivos y recursos internos

Antecedente: El CitrixBleed original permitió:

• Despliegue de ransomware
• Robo de credenciales
• Ataques persistentes a cadenas de suministro

Estrategias de Mitigación

1. Aplicar Parches Inmediatamente

Versiones corregidas:

• 14.1-43.56
• 13.1-58.32
• 13.1-37.235 (FIPS)
• 12.1-55.328 (FIPS)

Las versiones 12.1 (no FIPS) y 13.0 están obsoletas y no recibirán parches.

2. Invalidar Sesiones Activas Tras el Parcheo

Después de aplicar el parche, las sesiones activas deben eliminarse manualmente.

Comandos recomendados:

bashCopyEditshow icaconnection
show pcoipconnection

kill icaconnection -all
kill pcoipconnection -all

Muchas organizaciones parchearon en 2023 pero olvidaron cerrar sesiones activas, permitiendo que atacantes siguieran dentro del sistema.

3. Monitoreo y Auditoría Proactiva

Implementar:

• Análisis de logs de acceso a NetScaler Gateway
• Alertas de reutilización de tokens
• Segmentación de red entre recursos accesibles por VPN y datos sensibles
• Restricción de acceso a la interfaz de administración (NSIP)

Recomendaciones Estratégicas

• Inventario de Activos: Identificar todos los dispositivos NetScaler, internos y externos.
• Arquitectura Zero Trust: No confiar en sesiones activas por defecto.
• Higiene de Sesiones: Reducir el tiempo de expiración de sesiones privilegiadas.
• Simulacros de Secuestro de Sesiones: Evaluar la capacidad de respuesta del SOC.

CitrixBleed 2 demuestra que el parcheo sin operación post-parche no es suficiente. El acceso a tokens es tan peligroso como el robo de credenciales o claves privadas. Si no se invalidan, la amenaza persiste.