¡Que comience la caza! Hackers aprovechan una falla de Citrix para infiltrarse en sistemas globales.

Redazione RHC : 30 agosto 2025 20:30

Se ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo de 2025, varios meses antes de que se publicara una solución. Citrix informó inicialmente de una simple vulnerabilidad de desbordamiento de memoria que podía causar un flujo de control anormal y denegación de servicio, pero posteriormente se reveló que la brecha de seguridad permite la ejecución remota de código (RCE) sin autenticación, lo que podría resultar en una vulneración global generalizada del sistema

El error, identificado como CVE-2025-6543, permite a un atacante sobrescribir la memoria del sistema al proporcionar un certificado de cliente malicioso al endpoint /cgi/api/login de un dispositivo NetScaler vulnerable. Al enviar cientos de estas solicitudes, un atacante puede sobrescribir suficiente memoria para ejecutar código arbitrario en el sistema. Este método les proporcionó una posición estratégica en la red, que utilizaron para penetrar lateralmente en entornos de Active Directory, abusando de las credenciales de cuentas de servicio LDAP robadas.

La empresa puso a disposición un script de prueba para detectar vulnerabilidades, pero solo mediante solicitud específica y en circunstancias muy limitadas. Sin embargo, no proporcionaron una explicación detallada de la situación ni de las limitaciones del script. La evidencia sugiere que Citrix era consciente de la gravedad y la explotación continua, pero no reveló el verdadero alcance de la amenaza a sus clientes, afirmó Kevin Beaumont. Los expertos en seguridad instan a las organizaciones con dispositivos Citrix NetScaler con conexión a internet a tomar medidas inmediatas. Si sospecha que un sistema está comprometido, los pasos recomendados son:

• Apague inmediatamente el dispositivo NetScaler.
• Cree una imagen del sistema para análisis forense.
• Cambie las credenciales de la cuenta de servicio LDAP para evitar el movimiento lateral.
• Implemente una nueva instancia de NetScaler con parches y credenciales. Actualizado.

Estados Unidos ha incluido la vulnerabilidad CVE-2025-6543 en el catálogo de vulnerabilidades explotadas conocidas (KEV) a través de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), lo que pone de relieve la urgente necesidad de que las organizaciones actualicen las actualizaciones con parches y monitoreen posibles rastros de actividad maliciosa.

El Centro Nacional Holandés para la Seguridad de la Información (NCSC) desempeñó un papel clave en el descubrimiento de la verdadera naturaleza de los ataques. Su investigación confirmó que la vulnerabilidad se explotó como una vulnerabilidad de día cero y que los atacantes ocultaron activamente sus rastros, lo que dificultó el análisis forense. El informe, publicado en agosto de 2025, afirmaba que «varias organizaciones críticas en los Países Bajos fueron atacadas con éxito» y que la vulnerabilidad se había explotado al menos desde principios de mayo.

Citrix completó la publicación de un parche para CVE-2025-6543 en junio de 2025. Sin embargo, los atacantes ya llevaban varias semanas explotando la vulnerabilidad. Esta se aprovechó para comprometer los sistemas de acceso remoto de NetScaler, implementar webshells capaces de garantizar el acceso persistente incluso después de la aplicación de los parches y robar credenciales.

Se cree que el mismo actor de amenazas sofisticado está detrás de la explotación de otra vulnerabilidad de día cero, CVE-2025-5777, también conocida como CitrixBleed 2, utilizada para robar sesiones de usuario. Se están realizando investigaciones específicas para determinar si este actor también es responsable de la explotación de una vulnerabilidad más reciente, CVE-2025-7775.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli