Citrix ha publicado correcciones
para abordar tres vulnerabilidades de seguridad en NetScaler ADC y NetScaler
Gateway, incluyendo una que, según afirma, ha sido explotada activamente.
Las vulnerabilidades en cuestión se enumeran a continuación:
-
CVE-2025-7775 (CVSS: 9,2): Vulnerabilidad de desbordamiento de memoria que
provoca ejecución remota de código y/o denegación de servicio. -
CVE-2025-7776 (CVSS: 8,8): Vulnerabilidad de desbordamiento de memoria que
provoca comportamiento impredecible o erróneo y denegación de servicio. -
CVE-2025-8424 (CVSS: 8,7): Control de acceso inadecuado en la interfaz de
administración de NetScaler.
La compañía reconoció que se han observado vulnerabilidades de explotación de
CVE-2025-7775 en dispositivos sin mitigar, pero no proporcionó más detalles.
El investigador de seguridad
Kevin Beaumont confirmó que se han utilizado como ataques de día cero,
lo que significa que los atacantes ya estaban dentro antes de que el ciclo de
parches del proveedor se pusiera al día. Señaló CVE-2025-7775 como el problema
principal: un error de ejecución remota de código previo a la autenticación
que se está aprovechando para bloquear webshells y dispositivos de
puerta trasera.
Sin embargo, para que se exploten las vulnerabilidades, existen varios
requisitos previos:
-
CVE-2025-7775: NetScaler debe configurarse como Gateway (servidor
virtual VPN, proxy ICA, CVPN, proxy RDP) o servidor virtual AAA; NetScaler
ADC y NetScaler Gateway 13.1, 14.1, 13.1-FIPS y NDcPP: servidores virtuales
LB de tipo (HTTP, SSL o HTTP_QUIC) vinculados con servicios o grupos de
servicios IPv6 vinculados con servidores IPv6; NetScaler ADC y NetScaler
Gateway 13.1, 14.1, 13.1-FIPS y NDcPP: servidores virtuales LB de tipo
(HTTP, SSL o HTTP_QUIC) vinculados con servicios o grupos de servicios DBS
IPv6 vinculados con servidores DBS IPv6. o servidor virtual CR con tipo HDX -
CVE-2025-7776: NetScaler debe configurarse como puerta de enlace
(servidor virtual VPN, proxy ICA, CVPN, proxy RDP) con perfil PCoIP
vinculado a él -
CVE-2025-8424: Acceso a NSIP, IP de administración de clúster, IP de
sitio GSLB local o SNIP con acceso de administración
Los problemas se han resuelto en las siguientes versiones, sin soluciones
alternativas disponibles:
- NetScaler ADC y NetScaler Gateway 14.1-47.48 y versiones posteriores
- NetScaler ADC y NetScaler Gateway 13.1-59.22 y versiones posteriores de 13.1
-
NetScaler ADC 13.1-FIPS y 13.1-NDcPP 13.1-37.241 y versiones posteriores de
13.1-FIPS y 13.1-NDcPP -
NetScaler ADC 12.1-FIPS y 12.1-NDcPP 12.1-55.330 y versiones posteriores de
12.1-FIPS y 12.1-NDcPP.
CVE-2025-7775 es la vulnerabilidad más reciente de NetScaler ADC y Gateway que
se ha convertido en un arma en ataques reales en un corto período de tiempo,
después de CVE-2025-5777 (también conocida como
Citrix Bleed 2) y
CVE-2025-6543.
La divulgación también se produce un día después de que CISA agregara dos
fallas de seguridad que
afectan a Citrix Session Recording (CVE-2024-8068 y CVE-2024-8069)
a su catálogo de vulnerabilidades explotadas conocidas (KEV), basándose en
evidencia de explotación activa.
Fuente:
THN