Redazione RHC : 30 agosto 2025 20:30
Se ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo de 2025, varios meses antes de que se publicara una solución. Citrix informó inicialmente de una simple vulnerabilidad de desbordamiento de memoria que podía causar un flujo de control anormal y denegación de servicio, pero posteriormente se reveló que la brecha de seguridad permite la ejecución remota de código (RCE) sin autenticación, lo que podría resultar en una vulneración global generalizada del sistema
El error, identificado como CVE-2025-6543, permite a un atacante sobrescribir la memoria del sistema al proporcionar un certificado de cliente malicioso al endpoint /cgi/api/login de un dispositivo NetScaler vulnerable. Al enviar cientos de estas solicitudes, un atacante puede sobrescribir suficiente memoria para ejecutar código arbitrario en el sistema. Este método les proporcionó una posición estratégica en la red, que utilizaron para penetrar lateralmente en entornos de Active Directory, abusando de las credenciales de cuentas de servicio LDAP robadas.
La empresa puso a disposición un script de prueba para detectar vulnerabilidades, pero solo mediante solicitud específica y en circunstancias muy limitadas. Sin embargo, no proporcionaron una explicación detallada de la situación ni de las limitaciones del script. La evidencia sugiere que Citrix era consciente de la gravedad y la explotación continua, pero no reveló el verdadero alcance de la amenaza a sus clientes, afirmó Kevin Beaumont. Los expertos en seguridad instan a las organizaciones con dispositivos Citrix NetScaler con conexión a internet a tomar medidas inmediatas. Si sospecha que un sistema está comprometido, los pasos recomendados son:
Estados Unidos ha incluido la vulnerabilidad CVE-2025-6543 en el catálogo de vulnerabilidades explotadas conocidas (KEV) a través de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), lo que pone de relieve la urgente necesidad de que las organizaciones actualicen las actualizaciones con parches y monitoreen posibles rastros de actividad maliciosa.
El Centro Nacional Holandés para la Seguridad de la Información (NCSC) desempeñó un papel clave en el descubrimiento de la verdadera naturaleza de los ataques. Su investigación confirmó que la vulnerabilidad se explotó como una vulnerabilidad de día cero y que los atacantes ocultaron activamente sus rastros, lo que dificultó el análisis forense. El informe, publicado en agosto de 2025, afirmaba que «varias organizaciones críticas en los Países Bajos fueron atacadas con éxito» y que la vulnerabilidad se había explotado al menos desde principios de mayo.
Citrix completó la publicación de un parche para CVE-2025-6543 en junio de 2025. Sin embargo, los atacantes ya llevaban varias semanas explotando la vulnerabilidad. Esta se aprovechó para comprometer los sistemas de acceso remoto de NetScaler, implementar webshells capaces de garantizar el acceso persistente incluso después de la aplicación de los parches y robar credenciales.
Se cree que el mismo actor de amenazas sofisticado está detrás de la explotación de otra vulnerabilidad de día cero, CVE-2025-5777, también conocida como CitrixBleed 2, utilizada para robar sesiones de usuario. Se están realizando investigaciones específicas para determinar si este actor también es responsable de la explotación de una vulnerabilidad más reciente, CVE-2025-7775.
RedazioneSe ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo...
Una falla de seguridad en las apps de mensajería de WhatsApp para iOS y macOS de Apple ha sido corregida, según informó la compañía, tras ser probablemente explotada ampliamente junto con una vul...
NetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizaciones di...
Un Jueves Negro para millones de usuarios de Microsoft Teams en todo el mundo. Una función clave de la plataforma de colaboración, la apertura de documentos incrustados de Office, ha sido repentinam...
Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la aparición de un ...
