Una vulnerabilidad crítica y observada en Citrix Netscaler ha alcanzado las primeras etapas de explotación activa, Según una publicación de blog publicada el viernes por Reliaquest.
Los investigadores dijeron que han visto indicaciones de que la vulnerabilidad en la puerta de enlace NetScaler se está utilizando para el acceso inicial en entornos específicos.
La vulnerabilidad, rastreada como CVE-2025-5777está relacionado con una validación de entrada insuficiente que conduce a la memoria se exagera cuando NetScaler está configurado como puerta de enlace, Según un aviso de Citrix.
El defecto permite a un atacante extraer tokens de sesión y hacerse pasar por usuarios legítimos, según Brandon Tirado, director de investigación de amenazas en Reliaquest. Los tokens permiten que un adversario omite la autenticación multifactorial y participe en el secuestro de sesiones.
«Si bien la atribución no está clara, la actividad podría alinearse tanto con los actores de ransomware motivados financieramente como con los grupos de estado-nación», dijo Tirado a CyberseCurity Dive.
La vulnerabilidad tiene planteó grandes preocupaciones en la comunidad de seguridaddado que un defecto anterior en el mismo producto en 2023, rastreado como CVE-2023-4966se convirtió en uno de los errores más explotados en la memoria reciente, ganando el apodo de «Citrixed».
Esa vulnerabilidad apareció en varios ataques importantes, incluido un ataque de ransomware contra Boeing y un gran ataque contra Unidad de banda ancha Xfinity de Comcast Eso impactó a 36 millones de clientes.
Incluso después del frenesí de ataque inicial, los piratas informáticos pudieron continuar explotando la vulnerabilidad después de que los clientes aplicaran parches para abordar el defecto. Comcast dijo que siguió las instrucciones de mitigación antes de que se dirigiera.
Muchos de los ataques estaban vinculados al notorio grupo de ransomware Lockbit 3.0.
Grupo de software en la nube lanzó una publicación de blog el jueves Para abordar CVE-2025-5777, así como una vulnerabilidad de día cero recientemente divulgada separada rastreada como CVE-2025-6543. La compañía confirmó la explotación activa de este último defecto, pero dijo que no había evidencia de explotar CVE-2025-5777.
Cloud Software Group dijo que era consciente de las comparaciones entre el CVE-2025-5777 y la vulnerabilidad citrixbleed en 2023, pero dijo que actualmente no hay evidencia de que las fallas estén relacionadas. Citrix es una de las marcas de tecnología múltiple que operan bajo el software en la nube.
La compañía sufrió críticas generalizadas por su manejo de Citrixbleed en 2023, en parte debido a la confusión generalizada sobre el nivel de comunicación con los clientes y las preocupaciones sobre la orientación proporcionada a los equipos de seguridad.
En la publicación del blog publicada Thrsday, la compañía pidió a los clientes que se comuniquen si creen que se han comprometido, y publicó un conjunto detallado de preguntas frecuentes para abordar la actividad de amenazas.
