🧠 CVE‑2025‑5777 – "Citrix Bleed 2": divulgación crítica en NetScaler ADC y Gateway

1. 🔍 Descripción general y contexto

CVE‑2025‑5777, apodado “Citrix Bleed 2”, es una vulnerabilidad de lectura fuera de límites de memoria (out‑of‑bounds read) recientemente divulgada que afecta a dispositivos Citrix NetScaler ADC y NetScaler Gateway. Otorga la capacidad a un atacante remoto y sin autenticación para leer partes de la memoria del dispositivo, incluidas las valiosas cookies o tokens de sesión; esto permite eludir mecanismos de autenticación, incluyendo MFA, y secuestrar sesiones activas. La puntuación CVSS v4 de 9.3 destaca su criticidad.

El fallo es una evolución directa del famoso Citrix Bleed (CVE‑2023‑4966), pero ahora apunta a tokens de sesión en memoria, ampliando el potencial de persistencia y el alcance del ataque. Citrix alertó a fines de junio de 2025 con parches para versiones 13.1‑58.32, 14.1‑43.56 y posteriores.

2. ⚙️ Detalles técnicos: ¿cómo funciona el fallo?

El vector de entrada malvalidado se encuentra en la interfaz Gateway/VPN/AAA virtual server, donde una petición HTTP especialmente diseñada permite leer memoria adyacente al buffer de respuesta. Citrix no implementa control adecuado de límites, lo que posibilita que un atacante obtenga datos sensibles sin previo login.

🧩 Características del fallo

• Lectura fuera de límites de memoria (CWE-125).
• Exposición de tokens legítimos almacenados en memoria.
• Potencial bypass de MFA y secuestro de sesiones ICA/PCoIP.

3. 🧪 Explotación y vectores

Requisitos

• Dispositivo Citrix NetScaler ADC/Gateway vulnerable expuesto a Internet o red accesible.
• Envío de peticiones HTTP/HTTPS manipuladas.

Cadena de ataque

Enviar un HTTP GET a endpoint vulnerable (por ejemplo /oauth/idp/.well-known/openid-configuration) con cabeceras de gran tamaño o patrones maliciosos.

El servidor responde con trozos de memoria que incluyen tokens.

El atacante reutiliza estos tokens para autenticarse como un usuario legítimo, saltándose MFA.

Una vez dentro, puede iniciar sesión en portales, ejecutar peticiones LDAP, mover lateralmente y acceder a recursos internos.

🛠 Ejemplo de prueba de concepto (PoC) en bash

curl -sk -H "Host: victim" \
-H "$(printf 'A%.0s' {1..24000})" \
https://netscaler-vuln-endpoint/ > leak.bin
# Luego se analiza leak.bin para extraer token

Aunque sin un PoC completo público, expertos demostraron la posibilidad de sesionar sin credenciales .

4. 🛡️ Mitigación y soluciones disponibles

🧰 Parches oficiales

Actualizar inmediatamente los dispositivos a versiones seguras:

• 13.1‑58.32 o superior
• 14.1‑43.56 o superior
• Versiones FIPS 12.1‑55.328, 13.1‑37.235 y posteriores

✅ Remediaciones adicionales

• Terminar sesiones activas: comandos kill icaconnection -all y kill pcoipConnection -all tras el parche.
• Restringir acceso externo hasta aplicar parche: uso de ACL/firewall.
• Monitorizar logs para peticiones largas o toquen sospechosos.
• Actualización de infraestructura: migrar versiones EoL (12.1, 13.0) a builds soportados.
• Seguridad post-monetización: tras detectarse intrusión, ejecutar herramientas de auditoría, análisis de integridad, rotación de credenciales y auditoría AD .

5. 💭 Conclusión técnica y su impacto

CVE‑2025‑5777 demuestra cómo un mal control de memoria en componentes expuestos perimetralmente puede escalar desde una simple lectura fuera de límites hasta el compromiso total de sesión y acceso a redes internas. Se trata de una falla crítica porque:

• Afecta dispositivos en la primera línea de defensa (VPN/Gateway).
• Permite bypass de autenticación y MFA, usando tokens legítimos.
• Facilita el movimiento lateral y reconocimiento.
• No requiere credenciales ni interacción del usuario.

📌 La "segunda versión" de Citrix Bleed confirma que los errores de memoria siguen siendo una amenaza real. La velocidad con la que se parcheó es positiva, pero la verdadera defensa radica en:

• Mantener sistemas críticos siempre al día.
• Monitorear patrones de ataque en capa HTTP.
• Segmentar redes y aislar accesos externos.
• Revisar sesiones activas después del patch.

En suma, esta vulnerabilidad es un llamado contundente para reforzar la seguridad de dispositivos perimetrales, donde un fallo puede comprometer el entorno entero.