Vulnerabilidades críticas en Citrix NetScaler ADC y NetScaler Gateway
El 26 de agosto, Citrix informó la existencia de 3 vulnerabilidades de severidad critica en sus productos NetScaler ADC y NetScaler Gateway, siendo una de ellas explotada activamente.
Al ser un controlador de entrega de aplicaciones (ADC), Citrix NetScaler ADC optimiza el rendimiento, la seguridad y la adaptabilidad de las aplicaciones web. Su arquitectura de procesamiento de tráfico en un solo paso permite ejecutar múltiples funciones de manera simultánea, lo que reduce la latencia y potencia la velocidad de respuesta de las aplicaciones, ideal para implementaciones de Citrix DaaS y Citrix Virtual Apps and Desktop.
NetScaler Gateway facilita el acceso remoto seguro a la red interna y sus recursos. Esto es posible gracias a que Citrix Endpoint Management crea una micro VPN que conecta directamente las aplicaciones en el dispositivo del usuario con NetScaler Gateway, garantizando una comunicación protegida y eficiente.
A continuación, se detallan las vulnerabilidades que afectan estos productos.
CVE-2025-7775
Con una severidad crítica y un puntaje CVSS de 9.2, se ha reportado que la vulnerabilidad CVE-2025-7775 está siendo explotada activamente. Esta falla consiste en un desbordamiento de memoria que puede permitir la ejecución remota de código y/o causar una denegación de servicio.
Para que esta vulnerabilidad sea explotada, deben cumplirse al menos uno de los siguientes requisitos:
-
NetScaler debe estar configurado como puerta de enlace, ya sea como servidor virtual VPN, proxy ICA, CVPN o proxy RDP, o bien como servidor virtual AAA.
-
En las versiones 13.1, 14.1, 13.1-FIPS y NDcPP de NetScaler ADC y NetScaler Gateway, hay servidores virtuales que gestionan el balanceo de carga (tipos HTTP, SSL o HTTP_QUIC) conectados a servicios o grupos que usan direcciones IPv6, ya sea de tipo estándar o DBS.
-
Se cuenta con un servidor virtual CR configurado para conexiones HDX.
CVE-2025-7775 es la vulnerabilidad más reciente en NetScaler ADC y Gateway que ha sido explotada activamente en ataques reales en un corto período de tiempo, sumándose a otras vulnerabilidades previas como CVE-2025-5777 y CVE-2025-6543.
CVE-2025-7776
Aunque la vulnerabilidad CVE-2025-7776 no está siendo explotada de momento, es importante mantenerla en radar ya que tiene una severidad crítica (CVSS de 8.8).
La diferencia de esta vulnerabilidad con CVE-2025-7775 es que, aunque también consiste en un desbordamiento de memoria, sus posibles consecuencias son el comportamiento erróneo o impredecible y/o causar una denegación de servicio, no se menciona de momento la posibilidad de la ejecución remota de código.
Para que los atacantes puedan explotar esta vulnerabilidad, NetScaler debe estar configurado como puerta de enlace, ya sea como servidor virtual VPN, proxy ICA, CVPN o proxy RDP con el perfil PCoIP vinculado a él.
CVE-2025-8424
La vulnerabilidad identificada como CVE-2025-8424 igualmente se considera de severidad critica con un puntaje CVSS de 8.7. Aunque no se ha observado su explotación activa hasta el momento, representa un riesgo importante.
Esta falla existe debido a un control de acceso inadecuado en la interfaz de administración de NetScaler. Los atacantes pueden aprovechar esta vulnerabilidad si cuentan con acceso a al menos una de las siguientes direcciones: NSIP, IP de administración de clústeres, IP de sitio GSLB local o SNIP con acceso de administración.
Versiones Afectadas
|
Versiones afectadas |
Versiones parcheadas |
|
NetScaler ADC and NetScaler Gateway desde versión 14.1 hasta versión anterior a 14.1-47.48 |
NetScaler ADC and NetScaler Gateway versión 14.1-47.48 y posteriores |
|
NetScaler ADC and NetScaler Gateway desde versión 13.1 hasta versión anterior a 13.1-59.22 |
NetScaler ADC and NetScaler Gateway 13.1-59.22 y versiones posteriores de 13.1 |
|
NetScaler ADC desde versiones 13.1-FIPS y NDcPP hasta versiones anteriores a 13.1-37.241-FIPS y NDcPP |
NetScaler ADC versión 13.1-FIPS y 13.1-NDcPP 13.1-37.241 y versiones posteriores de 13.1-FIPS and 13.1-NDcPP |
|
NetScaler ADC desde versiones 12.1-FIPS y NDcPP hasta versiones anteriores a 12.1-55.330-FIPS y NDcPP |
NetScaler ADC versión 12.1-FIPS y 12.1-NDcPP 12.1-55.330 y versiones posteriores de 12.1-FIPS y 12.1-NDcPP |
Recomendaciones
-
Si alguna vulnerabilidad le afecta, considere actualizar o migrar a una versión con la vulnerabilidad corregida de acuerdo con la tabla de versiones afectadas.
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Citrix. (2025, Agosto 26). NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2025-7775, CVE-2025-7776 and CVE-2025-8424. Recuperado el 26 de Agosto de 2025, en: https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938&articleTitle=NetScaler_ADC_and_NetScaler_Gateway_Security_Bulletin_for_CVE_2025_7775_CVE_2025_7776_and_CVE_2025_8424
- Lakshmanan, R. (2025, Agosto 26). Citrix Patches Three NetScaler Flaws, Confirms Active Exploitation of CVE-2025-7775. The Hacker News. Recuperado el 26 de Agosto de 2025, en: https://thehackernews.com/2025/08/citrix-patches-three-netscaler-flaws.html
- Page, C. (2025, Agosto 26). Citrix patches trio of NetScaler bugs – after attackers beat them to it. The Register. Recuperado el 26 de Agosto de 2025, en: https://www.theregister.com/2025/08/26/citrix_patches_trio_of_netscaler/
