Una campaña de amenazas está explotando activamente una vulnerabilidad crítica, CVE-2025-6543, en dispositivos Citrix NetScaler ADC y Gateway configurados como servidores virtuales Gateway configurados como servidores virtuales Gateway o AAA.
¿Cuál es la amenaza?
Esta vulnerabilidad de desbordamiento de memoria se ha explotado activamente desde mayo de 2025, lo que permite a los atacantes obtener control remoto persistente sobre los dispositivos afectados. Los atacantes implementan shells web maliciosos para ejecutar comandos, interceptar datos, manipular sistemas y borrar evidencia para evadir la detección. La explotación activa de CVE-2025-6543 como vulnerabilidad de dia cero, implanta shells persistentes sin generar alertas inmediatas. Las organizaciones que utilizan dispositivos NetScaler sin parchear se enfrentan a un riesgo significativo, ya que la explotación puede interrumpir las operaciones, comprometer el trafico sensible y permitir la intrusión a largo plazo en la infraestructura crítica.
¿Por qué es digno de mención?
Las organizaciones y los operadores de infraestructuras críticas implementan dispositivos Citrix NetScaler ADC y Gateway para permitir el acceso remoto seguro. Citrix ha confirmado que algunas versiones afectadas, 12.1 y 13.0, han llegado al final de su ciclo de vida y no recibirán actualizaciones de seguridad. Esta campaña dirigida podría tener un impacto generalizado en empresas, redes gubernamentales infraestructuras críticas.
¿Cuál es la exposición o riesgo?
Dado que las vulnerabilidad afecta a dispositivos con versiones no compatibles, como la 12.1 y la 13.0, las organizaciones que siguen usándolas quedan expuestas permanentemente. Las implementaciones sin parches o que han llegado al final de su vida útil se enfrentan a un mayor riesgo de vulnerabilidad, intrusión persistente y posible interrupción de servicios críticos.
¿Cuáles son las recomendaciones?
- Actualice los dispositivos afectados a 14.1-47.46 o posterior, 13.1-59.19 o posterior, o 13.1-37.236-FIPS/NDcPP.
- Finalice las sesiones activas después de aplicar el parche utilizando los comandos recomendados por Citrix (p. ej., kill aaa session – all, rdp connection -all, clear lb persistentSessions) para eliminar cualquier posible persistencia de un atacante. Busque indicadores de compromiso (loC), como archivos.php inesperados en los directorios del sistema, cambios de configuración no autorizados o cuentas de administrador desconocidas.
- Revise y restrinja el acceso administrativo a redes confiables e implemente credenciales sólidas y únicas para todas las cuentas de administración.
- Establecer un plan de respuesta a incidentes para amenazas relacionadas con NetScaler, incluido el aislamiento inmediato de los dispositivos comprometidos, la recopilación de registros forenses y la verificación de la integridad del firmware y la configuración.
- Capacitar al personal operativo y de seguridad sobre los métodos de detección, procedimientos de parcheo y acciones de respuesta a emergencias específicas para esta vulnerabilidad.
Acércate a nosotros para brindarte más información de nuestro programa de canales:
- Sitio web: www.pccommayorista.com
- Registro de canales: https://www.pccommayorista.com/Socio-censornet-suite.aspx
- Teléfono: +52 (55) 5599.0670
- Correo de contacto: contacto@pccommayorista.com
JR
