ISGroup Consultoría de Ciberseguridad

CVE-2025-7775 – Desbordamiento de memoria en Citrix NetScaler ADC/Gateway (RCE Zero-Day)

CVE-2025-7775 es una vulnerabilidad crítica de tipo zero-day de desbordamiento de memoria (overflow) que afecta a Citrix NetScaler ADC y NetScaler Gateway, específicamente en configuraciones que involucran VPN, AAA, balanceo de carga IPv6 o servidores virtuales HDX. Permite la ejecución remota de código (RCE) sin autenticación y/o denegación de servicio (DoS). La vulnerabilidad ya ha sido explotada activamente y tiene una puntuación CVSS 4.0 de 9.2 (Crítica). Citrix declara que no existen mitigaciones más allá de la aplicación del parche.

Las agencias federales estadounidenses están obligadas a aplicar el parche antes del 28 de agosto de 2025, tras la inclusión de la vulnerabilidad en el Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de la CISA.

ProductoCitrix-NetScaler
Fecha2025-08-28 09:33:43
Información
  • Corrección disponible
  • Explotación activa

Resumen técnico

Tipo de vulnerabilidad: Vulnerabilidad de desbordamiento de memoria (CWE-119) en NetScaler ADC y Gateway.
Explotabilidad:

  • Explotación remota—no requiere autenticación ni interacción del usuario.
  • Gravedad alta—se han observado ataques activos.
    Configuraciones limitadas afectadas: Solo dispositivos configurados como Gateway, servidor virtual AAA, servidores virtuales LB con IPv6 (HTTP, SSL, HTTP_QUIC) o servidores CR con HDX.
    Impacto:
  • Confidencialidad: Potencial compromiso total del sistema mediante RCE.
  • Integridad y Disponibilidad: Interrupción del servicio o instalación de puertas traseras (backdoors). Versiones afectadas:
  • NetScaler ADC/Gateway 14.1 anterior a 14.1-47.48
  • 13.1 anterior a 13.1-59.22
  • 13.1-FIPS/NDcPP anterior a 13.1-37.241
  • 12.1-FIPS/NDcPP anterior a 12.1-55.330

Recomendaciones

  1. Aplicar parches inmediatamente
  • Actualizar a las versiones corregidas:
    • 14.1-47.48 o superior
    • 13.1-59.22 o superior
    • 13.1-37.241 (FIPS/NDcPP) o superior
    • 12.1-55.330 (FIPS/NDcPP) o superior

  1. Revisar las configuraciones
  • Verificar el archivo ns.conf en busca de roles como Gateway, AAA, servidor virtual LB IPv6 o servidor CR HDX para evaluar la exposición.
  1. Aislar los dispositivos vulnerables
  • Si no es posible aplicar los parches de inmediato, limitar la exposición aislando de internet los dispositivos NetScaler afectados.
  1. Monitorear actividades sospechosas
  • Examinar los registros (logs) en busca de indicadores como acceso a shell no justificado o intentos anómalos de RCE.
  • Se recomienda realizar actividades de respuesta a incidentes, dado que el exploit ya ha sido observado.
  1. Adoptar una estrategia de defensa en profundidad
  • Asegurarse de que las interfaces de gestión (NSIP, etc.) no sean accesibles desde internet.
  • Implementar segmentación de red y mecanismos sólidos de control de acceso.
  1. Mantenerse actualizado sobre vulnerabilidades relacionadas
  • CVE-2025-7776 (otro desbordamiento de memoria) y CVE-2025-8424 (control de acceso inadecuado) están incluidos en el mismo aviso; asegúrese de que estén cubiertos por su proceso de parcheo.

[Callforaction-THREAT-Footer]

In