Más de 1.200 ADC Netscaler Citrix y electrodomésticos de puerta de enlace Netscaling en línea no se corrigen contra la vulnerabilidad crítica que se explotarían activamente, lo que permite a los actores de amenaza omitir la autenticación al desviar las sesiones de usuarios.
Seguido bajo el nombre de CVE-2025-5777 y llamado Citrix Said 2, esta memoria fuera de límite leerá la vulnerabilidad de los resultados de la validación de la insuficiencia de entrada, lo que permite a los atacantes no autenticados acceder a regiones de memoria restringidas.
Un defecto de seguridad de Citrix similar, apodado “Citrixeed”, fue explotado en ataques de ransomware y violaciones dirigidas a gobiernos en 2023 para piratear Netscaling y moviéndose lateralmente a través de redes de compromiso.
Operar con éxito el CVE-2025-5777 podría permitir a los interesados de las amenazas robar tokens de sesión, información de identificación y otros datos confidenciales de pasarelas y servidores virtuales accesibles para el público, lo que les permite desviar las sesiones de usuarios y evitar la autenticación multifactor (MFA).
En una opinión del 17 de junio, Citrix prevenido Los clientes finalizarán todas las sesiones de ICA y PCOIP activas después de haber actualizado todos sus dispositivos de red nets a una versión corregida para bloquear los posibles ataques.
Lunes, Analistas de seguridad de la Fundación Shadowserver para la seguridad de la seguridad de Internet descubierto Durante el fin de semana, 2.100 electrodomésticos aún eran vulnerables a los ataques CVE-2025-5777.
Si bien Citrix aún no ha confirmado que este defecto de seguridad se explote en la naturaleza, adagio Que actualmente, no hay evidencia que sugiera la explotación del CVE-2025-5777 “, informó el jueves la compañía de seguridad cibernética, informó el jueves la compañía de seguridad cibernética con una confianza promedio de que la vulnerabilidad ya está abusada en ataques dirigidos.
“Aunque no se ha informado de explotación pública del CVE-2025-5777, llamado” Citrix Said 2 “, Logiaquest evalúa con una confianza promedio de que los atacantes explotan activamente esta vulnerabilidad para obtener acceso inicial a entornos específicos”, advirtió el confiable.
Reliaquet ha identificado indicadores que sugieren una actividad posterior a la explotación después de un acceso citrix no autorizado, incluida una sesión web de citrix desviada que indica un intento exitoso de derivación MFA, la reutilización de la sesión en varias direcciones IP (incluidos los sospechosos) y las solicitudes LDAP vinculadas a actividades de reconocimiento de directorio activo.
Shadowserver también encontrar Más de 2.100 dispositivos de netcaling se han puesto en contra de otra vulnerabilidad crítica (CVE-2025-6543), que ahora se usa durante los ataques de negación del servicio (atrás).
Las dos fallas que se etiquetan como vulnerabilidades críticas de la gravedad, se aconseja a los administradores que implementen las últimas correcciones de Citrix lo antes posible. Las empresas también deben examinar sus controles de acceso y monitorear los dispositivos Netscaler Citrix para sesiones y actividad de usuarios sospechosos.
El correctivo significaba scripts complejos, largas horas y ejercicios interminables de fuego. No más.
En esta nueva guía, los dientes descomponen la forma en que las organizaciones modernas de TI están ganando energía con la automatización. Parche más rápido, reduzca los costos generales y se centre en el trabajo estratégico, no se requiere un guión complejo.