Una vulnerabilidad crítica que permite a los piratas informáticos omitir la autenticación multifactorial en dispositivos de gestión de redes realizados por Citrix ha sido explotado activamente durante más de un mes, dijeron los investigadores. El hallazgo está en desacuerdo con los avisos del proveedor que dice que no hay evidencia de explotación en el banquillo. Seguimiento como CVE-2025-5777, la vulnerabilidad comparte similitudes con CVE-2023-4966, un defecto de seguridad apodado Citrixbleed, que condujo al compromiso de 20,000 dispositivos Citrix hace dos años. La lista de clientes de Citrix pirateados en la juerga de explotación Citrixed incluyó Boeing, la compañía naviera australiana DP World, Commercial Bank of China y el bufete de abogados Allen & Overy. También se violó una red de Comcast, lo que permite a los actores de amenaza robar datos de contraseña y otra información confidencial que pertenece a 36 millones de clientes de Xfinity. Dar a los atacantes una cabeza inicial CVE-2025-5777 y CVE-2023-4966 residen en el controlador de entrega de aplicaciones NetScaler de Citrix y la puerta de enlace NetScaler, que proporcionan un equilibrio de carga y un inicio de sesión único en las redes empresariales, respectivamente. La vulnerabilidad hace que los dispositivos vulnerables se filtraran, o «sangren», se muestran pequeños fragmentos de contenido de la memoria después de recibir solicitudes modificadas enviadas a través de Internet. Al enviar repetidamente las mismas solicitudes, los piratas informáticos pueden reconstruir suficientes datos para reconstruir las credenciales. El Citrixbleed original tenía una clasificación de gravedad de 9.8. Citrixbleed 2 tiene una clasificación de gravedad de 9.2. Citrix reveló la nueva vulnerabilidad y lanzó un parche de seguridad el 17 de junio. En una actualización publicada nueve días después, Citrix dijo que «actualmente desconocía ninguna evidencia de explotación». La compañía no ha proporcionado actualizaciones desde entonces. Sin embargo, los investigadores dicen que han encontrado evidencia de que Citrixed 2, como se llama la nueva vulnerabilidad, ha sido explotada activamente durante semanas. La firma de seguridad Greynoise dijo el lunes que una búsqueda a través de sus registros de honeypot encontró la explotación el 1 de julio. El martes, el investigador independiente Kevin Beaumont dijo que la telemetría de esos mismos registros de honeypot indica que Citrixed 2 ha sido explotado desde al menos el 23 de junio, tres días antes de que Citrix dijo que no tenía evidencia de tales ataques. El hecho de que Citrix no revele la explotación activa es solo uno de los detalles que los investigadores dicen que faltaba las avisajes. La semana pasada, la firma de seguridad WatchTowr publicó una publicación titulada «¿Cuánto más debemos sangrar? Criticó a Citrix por los indicadores de retención que los clientes podrían usar para determinar si sus redes estaban bajo ataque. El lunes, la firma de seguridad Horizon3.ai dijo lo mismo. Los investigadores de la compañía escribieron:
Deja una respuesta