Redazione RHC : 30 agosto 2025 20:30
Se ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo de 2025, varios meses antes de que se publicara una solución. Citrix informó inicialmente de una simple vulnerabilidad de desbordamiento de memoria que podía causar un flujo de control anormal y denegación de servicio, pero posteriormente se reveló que la brecha de seguridad permite la ejecución remota de código (RCE) sin autenticación, lo que podría resultar en una vulneración global generalizada del sistema
El error, identificado como CVE-2025-6543, permite a un atacante sobrescribir la memoria del sistema al proporcionar un certificado de cliente malicioso al endpoint /cgi/api/login de un dispositivo NetScaler vulnerable. Al enviar cientos de estas solicitudes, un atacante puede sobrescribir suficiente memoria para ejecutar código arbitrario en el sistema. Este método les proporcionó una posición estratégica en la red, que utilizaron para penetrar lateralmente en entornos de Active Directory, abusando de las credenciales de cuentas de servicio LDAP robadas.
La empresa puso a disposición un script de prueba para detectar vulnerabilidades, pero solo mediante solicitud específica y en circunstancias muy limitadas. Sin embargo, no proporcionaron una explicación detallada de la situación ni de las limitaciones del script. La evidencia sugiere que Citrix era consciente de la gravedad y la explotación continua, pero no reveló el verdadero alcance de la amenaza a sus clientes, afirmó Kevin Beaumont. Los expertos en seguridad instan a las organizaciones con dispositivos Citrix NetScaler con conexión a internet a tomar medidas inmediatas. Si sospecha que un sistema está comprometido, los pasos recomendados son:
Estados Unidos ha incluido la vulnerabilidad CVE-2025-6543 en el catálogo de vulnerabilidades explotadas conocidas (KEV) a través de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), lo que pone de relieve la urgente necesidad de que las organizaciones actualicen las actualizaciones con parches y monitoreen posibles rastros de actividad maliciosa.
El Centro Nacional Holandés para la Seguridad de la Información (NCSC) desempeñó un papel clave en el descubrimiento de la verdadera naturaleza de los ataques. Su investigación confirmó que la vulnerabilidad se explotó como una vulnerabilidad de día cero y que los atacantes ocultaron activamente sus rastros, lo que dificultó el análisis forense. El informe, publicado en agosto de 2025, afirmaba que «varias organizaciones críticas en los Países Bajos fueron atacadas con éxito» y que la vulnerabilidad se había explotado al menos desde principios de mayo.
Citrix completó la publicación de un parche para CVE-2025-6543 en junio de 2025. Sin embargo, los atacantes ya llevaban varias semanas explotando la vulnerabilidad. Esta se aprovechó para comprometer los sistemas de acceso remoto de NetScaler, implementar webshells capaces de garantizar el acceso persistente incluso después de la aplicación de los parches y robar credenciales.
Se cree que el mismo actor de amenazas sofisticado está detrás de la explotación de otra vulnerabilidad de día cero, CVE-2025-5777, también conocida como CitrixBleed 2, utilizada para robar sesiones de usuario. Se están realizando investigaciones específicas para determinar si este actor también es responsable de la explotación de una vulnerabilidad más reciente, CVE-2025-7775.
RedazioneEn Estados Unidos, una campaña de botnets coordinada a gran escala tiene como objetivo servicios basados en el Protocolo de Escritorio Remoto (RDP). La escala y la estructura organizativa de esta cam...
La semana pasada, Oracle advirtió a sus clientes sobre una vulnerabilidad crítica de día cero en su E-Business Suite (CVE-2025-61882), que permite la ejecución remota de código arbitrario sin aut...
Cuando Nick Turley se unió a OpenAI en 2022 para liderar el equipo de ChatGPT, se le encomendó la tarea de transformar la investigación empresarial en un producto comercial. Ha cumplido esta misió...
Del 6 al 9 de octubre de 2025, Varsovia albergó la 11.ª edición del Desafío Europeo de Ciberseguridad (CECA) . En una reñida competición entre 39 equipos de Estados miembros de la UE, países de...
Un nuevo anuncio publicado en un foro clandestino fue descubierto recientemente por investigadores del laboratorio de inteligencia de amenazas Dark Lab , demostrando claramente cuán activo y peligros...
