Ciberseguridad 360 | Citrix corrige vulnerabilidad RCE en NetScaler explotada como zero-day

Citrix ha corregido tres fallos de NetScaler ADC y NetScaler Gateway, incluido un fallo cr�tico de ejecuci�n remota de c�digo identificado como CVE-2025-7775 que se explotaba activamente en ataques como vulnerabilidad de zero-day.

El fallo CVE-2025-7775 es un error de desbordamiento de memoria que puede dar lugar a la ejecuci�n remota de c�digo no autenticado en dispositivos vulnerables.

En un aviso publicado ayer, Citrix afirma que se ha observado que esta vulnerabilidad se ha explotado en ataques a dispositivos sin parchear.

"A fecha de 26 de agosto de 2025, Cloud Software Group tiene motivos para creer que se han observado exploits de CVE-2025-7775 en dispositivos sin mitigar, y recomienda encarecidamente a los clientes que actualicen el firmware de NetScaler a las versiones que contienen la correcci�n, ya que no hay mitigaciones disponibles para protegerse contra un posible exploit", se lee en una entrada de blog sobre el fallo.

Aunque Citrix no ha compartido indicadores de compromiso ni ninguna otra informaci�n que pueda utilizarse para determinar si los dispositivos han sido explotados, s� ha revelado que los dispositivos deben estar configurados de una de las siguientes maneras para ser vulnerables:

NetScaler debe configurarse como puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o servidor virtual AAA.

NetScaler ADC y NetScaler Gateway 13.1, 14.1, 13.1-FIPS y NDcPP: servidores virtuales LB de tipo (HTTP, SSL o HTTP_QUIC) vinculados a servicios IPv6 o grupos de servicios vinculados a servidores IPv6 .

NetScaler ADC y NetScaler Gateway 13.1, 14.1, 13.1-FIPS y NDcPP: servidores virtuales LB de tipo (HTTP, SSL o HTTP_QUIC) vinculados a servicios DBS IPv6 o grupos de servicios vinculados a servidores DBS IPv6.

Servidor virtual CR con tipo HDX.

En un aviso publicado ayer, Citrix ha compartido los ajustes de configuraci�n que se pueden comprobar para determinar si su dispositivo NetScaler est� utilizando una de las configuraciones anteriores.

BleepingComputer se ha puesto en contacto con Citrix y Cloud Software Group para preguntarles sobre la explotaci�n de CVE-2025-7775 y actualizar� su art�culo si recibe una respuesta.

Adem�s de la vulnerabilidad RCE, la actualizaci�n de ayer tambi�n aborda una vulnerabilidad de desbordamiento de memoria que podr�a provocar una denegaci�n de servicio, identificada como CVE-2025-7776, y un control de acceso inadecuado en la interfaz de gesti�n de NetScaler, identificada como CVE-2025-8424.

Las fallas afectan a las siguientes versiones:

NetScaler ADC y NetScaler Gateway?14.1?ANTES de 14.1-47.48

NetScaler ADC y NetScaler Gateway?13.1?ANTES de 13.1-59.22

NetScaler ADC 13.1-FIPS y NDcPP ANTES de 13.1-37.241-FIPS y NDcPP

NetScaler ADC 12.1-FIPS y NDcPP ANTES de 12.1-55.330-FIPS y NDcPP

Dado que no hay medidas de mitigaci�n, Citrix "recomienda encarecidamente" a los administradores que instalen las �ltimas actualizaciones lo antes posible.

Citrix afirma que los fallos fueron revelados por Jimi Sebree, de Horizon3.ai, Jonathan Hetzer, de Schramm & Partnerfor, y Fran�ois H�mmerli. Sin embargo, no est� claro qui�n descubri� cada error.

En junio, Citrix revel� una vulnerabilidad de lectura de memoria fuera de l�mites, identificada como CVE-2025-5777 y denominada "Citrix Bleed 2", que permite a los atacantes acceder a informaci�n confidencial almacenada en la memoria.

Esta falla se explot� activamente casi dos semanas antes de que se publicaran los exploits de prueba de concepto (PoC) en julio, a pesar de que Citrix afirm� que no hab�a pruebas de ataques en ese momento.

Fuente: bleepingcomputer