Las vulnerabilidades, identificadas como CVE-2025-5349 y CVE-2025-5777, afectan a múltiples versiones de Citrix NetScaler y permiten desde el acceso no autorizado hasta la exposición de memoria sensible. Ambas fallas han sido activamente explotadas, incluso antes de que existieran pruebas de concepto (PoC) públicas.
Vulnerabilidades identificadas:
- CVE-2025-5777 (CVSS 9.3): Se produce por una validación insuficiente en solicitudes POST durante el proceso de autenticación, donde la omisión del signo «=» en el parámetro
login=causa la filtración de 127 bytes de memoria. Esta falla permite a atacantes capturar tokens de sesión y usarlos para obtener acceso no autorizado a recursos internos. - CVE-2025-5349 (CVSS 8.7): La vulnerabilidad se produce por un control de acceso inadecuado, el cual esta configurado en la interfaz de administración de NetScaler, que a su vez conduciría a un acceso a NSIP, a la IP de administración del clúster y a la IP del sitio GSLB local.
Se registraron intentos de explotación desde el 23 de junio de 2025, semanas antes de la publicación del código PoC el 4 de julio. La Agencia de Seguridad Cibernética de EE.UU. (CISA) confirmó explotación activa el 9 de julio y la incluyó en su catálogo de vulnerabilidades explotadas conocidas (KEV). Investigadores reportan más de 120 empresas comprometidas y actividad creciente.
Productos y Versiones afectadas
| Producto | Versiones vulnerables |
|---|---|
| NetScaler ADC y Gateway 14.1 | Antes de 14.1-43.56 |
| NetScaler ADC y Gateway 13.1 | Antes de 13.1-58.32 |
| NetScaler ADC 13.1-FIPS / NDcPP | Antes de 13.1-37.235-FIPS / NDcPP |
| NetScaler ADC 12.1-FIPS | Antes de 12.1-55.328-FIPS |
| Versiones 12.1 y 13.0 (EOL) | Vulnerables; se recomienda actualización |
Solución
Actualizar urgentemente a las siguientes versiones parcheadas:
- NetScaler ADC y Gateway 14.1-43.56 o superior
- NetScaler ADC y Gateway 13.1-58.32 o superior
- NetScaler ADC 13.1-37.235-FIPS y NDcPP o superior
- NetScaler ADC 12.1-55.328-FIPS o superior
No existen mitigaciones alternativas; la actualización es indispensable.
Recomendaciones
- Revisar logs para detectar múltiples solicitudes POST a
/doAuthentication.doconContent-Length:5. - Buscar entradas inusuales en logs como nombres de usuario con caracteres especiales o memoria filtrada.
- Tras la actualización, ejecutar comandos para cerrar sesiones activas potencialmente comprometidas.
- Verificar indicios en logs como mensajes “Authentication is rejected for” o valores no ASCII (0x80–0xFF).
- Validar que no existan cambios sospechosos en direcciones IP asociadas a sesiones VPN.
Referencias
- https://www.bleepingcomputer.com/news/security/citrix-bleed-2-exploited-weeks-before-pocs-as-citrix-denied-attacks/
- https://www.netscaler.com/blog/news/netscaler-critical-security-updates-for-cve-2025-6543-and-cve-2025-5777/
- https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420
- https://nvd.nist.gov/vuln/detail/CVE-2025-5777