Mitigación de la divulgación de memoria de NetScaler de CitrixBleed 2 (CVE‑2025‑5777) con App & API Protector

La vulnerabilidad se dio a conocer originalmente a los clientes de Citrix el 17 de junio de 2025 y, desde entonces, las organizaciones de investigación han mostrado actividad en torno al defecto, indicadores de riesgo y una prueba de concepto de la vulnerabilidad. Incluso si ha aplicado parches rápidamente a los dispositivos afectados, es importante comprobar la exposición ahora que la prueba de concepto se ha hecho pública. Este defecto puede tener consecuencias graves, teniendo en cuenta que los dispositivos afectados se pueden configurar como VPN, proxies o servidores virtuales AAA. Se pueden exponer tokens de sesión y otros datos confidenciales, lo que permite el acceso no autorizado a aplicaciones internas, VPN, redes de centros de datos y redes internas.

Dispositivos y versiones afectados:

• NetScaler ADC y NetScaler Gateway 14.1 ANTERIORES A 14.1-43.56
• NetScaler ADC y NetScaler Gateway 13.1 ANTERIORES A 13.1-58.32
• NetScaler ADC 13.1-FIPS y NDcPP ANTERIORES A 13.1-37.235-FIPS y NDcPP
• NetScaler ADC 12.1-FIPS ANTERIOR A 12.1-55.328-FIPS

Desde la divulgación de la vulnerabilidad, hemos observado un aumento drástico del tráfico de escaneo de vulnerabilidades y de otros atacantes que buscan objetivos vulnerables. Los clientes de App & API Protector están protegidos con una regla rápida especial 3000967 que se publicó para solucionar esta CVE.

Tenga en cuenta que hay un par de CVE de Citrix más, como se indica a continuación:

CVE‑2025‑6543: Se trata de un desbordamiento de memoria sin autenticación en Citrix NetScaler ADC/Gateway (modo VPN/AAA), que puede interrumpir el flujo de control, provocar un ataque de denegación de servicio o incluso llegar a la ejecución remota de código. Pero aún no hay ninguna PoC pública disponible.

CVE‑2025‑5349: Esto está relacionado con un defecto de control de acceso incorrecto que afecta a la interfaz de gestión de NetScaler, lo que puede provocar que se lleven a cabo acciones administrativas no autorizadas. En este momento no se conoce ninguna PoC pública.

El código subyacente de Citrix NetScaler está escrito en C o C++ y la vulnerabilidad reside en la función de autenticación que procesa los parámetros de inicio de sesión.

La causa principal es el uso de una variable de inicio de sesión no inicializada (destinada a contener los detalles del nombre de usuario) combinada con un manejo incorrecto de la memoria, falta de validación de entrada y falta de manejo de errores en la lógica de autenticación de Citrix NetScaler. Como C y C++ no inicializan automáticamente las variables a cero, nada o algún otro valor especificado, las variables no inicializadas pueden apuntar a un espacio en la memoria de pila aleatorio y permitir a los atacantes acceder a datos no intencionados o sensibles que residen en este espacio de memoria, básicamente los datos sobrantes de operaciones o tratamiento previos.

La vulnerabilidad tiene como objetivo la ruta de URL /p/u/doAuthentication.do y no requiere autenticación, lo que la hace muy accesible para los atacantes y no requiere ninguna condición previa. Esta combinación de defectos permitió a los atacantes no autenticados filtrar contenido confidencial de la memoria y algunos de ellos ya han comenzado a explotarlo en el mundo real. Sigue sin estar claro el impacto y el alcance de las víctimas y organizaciones afectadas.

El término “CitrixBleed” se utiliza porque la filtración de memoria se puede activar repetidamente enviando la misma carga, con cada intento de perder un nuevo fragmento de memoria de pila, lo que efectivamente hace “sangrar” ("bleed" en inglés) la información sensible. El encabezado largo de agente de usuario se utiliza para inyectar un patrón reconocible en la pila. Al inundar la memoria con una cadena aleatoria lo suficientemente grande, como THR-WAF-RESEARCH repetida muchas veces, el atacante puede asegurarse de que los bytes de pila no inicializados se filtren. Esos marcadores distintivos aparecerán dentro de las etiquetas XML < InitialValue >…</InitialValue> en el cuerpo de la respuesta HTTP. Esto confirma la filtración y expone fragmentos de la memoria, que normalmente contiene datos confidenciales, como variables de sesión, tokens, contraseñas, nombres de usuario, o valores de configuración.

Al igual que la vulnerabilidad original de CitrixBleed (CVE‑2023‑4966) revelada en 2023, que provocaba filtraciones de memoria a través de un encabezado Host mal formado, CitrixBleed 2 (CVE‑2025‑5777) también sufre filtraciones de memoria esta vez debido al uso de una variable no inicializada. El primer problema lo mitigaron los servidores fantasma de Akamai de forma predeterminada, gracias a la estricta validación del encabezado Host, mientras que CitrixBleed 2 requiere una regla dedicada del motor de seguridad adaptable (ASE).

A continuación se muestra un sencillo resumen de los pasos de explotación:

1) Reconstrucción: buscar instancias de Citrix NetScaler ADC/Gateway expuestas.

2) Enumeración: comprobar si el destino ejecuta una versión vulnerable.

3) Ataque: enviar una solicitud especialmente diseñada a /p/u/doAuthentication.do con un encabezado largo de agente de usuario (no se necesita autenticación).

4) Filtración: el dispositivo responde con una pila de memoria filtrada en etiquetas <initialValue> XML.

5) Fase de "sangrado": se repiten los pasos 3–4, lo que provoca filtraciones continuas de la memoria de pila (CitrixBleed 2) desde el mismo dispositivo objetivo.

6) Después de la explotación: los atacantes utilizan los datos filtrados con fines maliciosos, como la autenticación exitosa con tokens de sesión filtrados.

En respuesta a CitrixBleed 2, el equipo de investigación de amenazas WAF publicó una nueva regla rápida el 7 de julio de 2025, con una acción predeterminada establecida en “Alerta”:

• 3000967: divulgación de memoria de Citrix NetScaler detectada (CVE-2025-5777)

Después de confirmar que la regla es precisa, la regla rápida recomendada se estableció en la acción predeterminada de “Denegar” el 8 de julio de 2025.