Citrix ha publicado correcciones para abordar tres vulnerabilidades de seguridad en NetScaler ADC y NetScaler Gateway, incluyendo una que, según afirma, ha sido explotada activamente.
Las vulnerabilidades en cuestión se enumeran a continuación:
- CVE-2025-7775 (CVSS: 9,2): Vulnerabilidad de desbordamiento de memoria que provoca ejecución remota de código y/o denegación de servicio.
- CVE-2025-7776 (CVSS: 8,8): Vulnerabilidad de desbordamiento de memoria que provoca comportamiento impredecible o erróneo y denegación de servicio.
- CVE-2025-8424 (CVSS: 8,7): Control de acceso inadecuado en la interfaz de administración de NetScaler.
La compañía reconoció que se han observado vulnerabilidades de explotación de CVE-2025-7775 en dispositivos sin mitigar, pero no proporcionó más detalles.
El investigador de seguridad Kevin Beaumont confirmó que se han utilizado como ataques de día cero, lo que significa que los atacantes ya estaban dentro antes de que el ciclo de parches del proveedor se pusiera al día. Señaló CVE-2025-7775 como el problema principal: un error de ejecución remota de código previo a la autenticación que se está aprovechando para bloquear webshells y dispositivos de puerta trasera.
Sin embargo, para que se exploten las vulnerabilidades, existen varios requisitos previos:
- CVE-2025-7775: NetScaler debe configurarse como Gateway (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o servidor virtual AAA; NetScaler ADC y NetScaler Gateway 13.1, 14.1, 13.1-FIPS y NDcPP: servidores virtuales LB de tipo (HTTP, SSL o HTTP_QUIC) vinculados con servicios o grupos de servicios IPv6 vinculados con servidores IPv6; NetScaler ADC y NetScaler Gateway 13.1, 14.1, 13.1-FIPS y NDcPP: servidores virtuales LB de tipo (HTTP, SSL o HTTP_QUIC) vinculados con servicios o grupos de servicios DBS IPv6 vinculados con servidores DBS IPv6. o servidor virtual CR con tipo HDX
- CVE-2025-7776: NetScaler debe configurarse como puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) con perfil PCoIP vinculado a él
- CVE-2025-8424: Acceso a NSIP, IP de administración de clúster, IP de sitio GSLB local o SNIP con acceso de administración
Los problemas se han resuelto en las siguientes versiones, sin soluciones alternativas disponibles:
- NetScaler ADC y NetScaler Gateway 14.1-47.48 y versiones posteriores
- NetScaler ADC y NetScaler Gateway 13.1-59.22 y versiones posteriores de 13.1
- NetScaler ADC 13.1-FIPS y 13.1-NDcPP 13.1-37.241 y versiones posteriores de 13.1-FIPS y 13.1-NDcPP
- NetScaler ADC 12.1-FIPS y 12.1-NDcPP 12.1-55.330 y versiones posteriores de 12.1-FIPS y 12.1-NDcPP.
CVE-2025-7775 es la vulnerabilidad más reciente de NetScaler ADC y Gateway que se ha convertido en un arma en ataques reales en un corto período de tiempo, después de CVE-2025-5777 (también conocida como Citrix Bleed 2) y CVE-2025-6543.
La divulgación también se produce un día después de que CISA agregara dos fallas de seguridad que afectan a Citrix Session Recording (CVE-2024-8068 y CVE-2024-8069) a su catálogo de vulnerabilidades explotadas conocidas (KEV), basándose en evidencia de explotación activa.
Citrix no ofrece mitigaciones ni soluciones alternativas e insta a los administradores a actualizar el firmware inmediatamente.
Los análisis de internet realizados por la plataforma de monitorización de amenazas The ShadowServer Foundation poco después de la divulgación de la falla muestran que había más de 28.000 instancias de Citrix vulnerables a CVE-2025-7775. La mayoría de los casos vulnerables se localizan en Estados Unidos (10.100), seguido de Alemania (4.300), el Reino Unido (1.400), los Países Bajos (1.300), Suiza (1.300), Australia (880), Canadá (820) y Francia (600).
Fuente: THN