CISA ha emitido una advertencia crítica sobre una vulnerabilidad de desbordamiento de búfer en los productos Citrix NetScaler ADC y Gateway, identificada como CVE-2025-6543. Esta vulnerabilidad fue añadida al catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA el 30 de junio de 2025, lo que indica su explotación activa por parte de actores maliciosos.
La falla, de alta gravedad, representa un riesgo significativo para las organizaciones que utilizan estos componentes de infraestructura de red. Permite a los atacantes manipular el flujo de control y ejecutar ataques de denegación de servicio (DoS) contra los sistemas afectados. Debido a la gravedad y la explotación activa, se requiere una acción inmediata por parte de las agencias federales y las organizaciones del sector privado.
CVE-2025-6543 representa una vulnerabilidad de desbordamiento de búfer clasificada según la Enumeración de debilidades comunes (CWE) 119, que abarca la restricción inadecuada de operaciones dentro de los límites del búfer de memoria.
Esta clasificación técnica indica que la vulnerabilidad se debe a mecanismos de validación de entrada insuficientes dentro del código base de NetScaler, lo que permite a los atacantes escribir datos más allá de los límites de la memoria asignada.
La explotación de esta falla puede resultar en la ejecución de código arbitrario y comprometer el sistema, lo que lo hace particularmente peligroso para los dispositivos de red conectados a Internet.
La vulnerabilidad afecta específicamente a los productos Citrix NetScaler ADC (Application Delivery Controller) y Gateway cuando se configuran en modos operativos específicos.
Estos dispositivos de red de nivel empresarial sirven como componentes de infraestructura críticos, manejando el equilibrio de carga, la descarga de SSL y funcionalidades de acceso remoto seguro para organizaciones de todo el mundo.
La condición de desbordamiento del búfer se produce durante las rutinas de procesamiento de paquetes, donde el tráfico de red con formato incorrecto puede provocar daños en la memoria, lo que provoca inestabilidad del sistema o un compromiso total.
La explotación de la vulnerabilidad requiere la presencia de configuraciones específicas de NetScaler, lo que limita su superficie de ataque pero aún afecta a una cantidad sustancial de implementaciones.
Los sistemas afectados deben configurarse como servicios de puerta de enlace, incluidos servidores virtuales VPN, implementaciones de proxy ICA, servicios CVPN (Cloud VPN) o configuraciones de proxy RDP.
Además, los sistemas configurados con servidores virtuales AAA (Autenticación, Autorización y Contabilidad) son susceptibles a esta vulnerabilidad.
Las organizaciones que utilizan dispositivos NetScaler en estas configuraciones enfrentan riesgos inmediatos de interrupción del servicio, acceso no autorizado y posible movimiento lateral dentro de su infraestructura de red.
Si bien la evaluación actual de CISA indica que el uso de la vulnerabilidad en campañas de ransomware sigue siendo desconocido, el estado de explotación activa sugiere que actores de amenazas sofisticados están aprovechando esta falla con fines maliciosos.
Recomendaciones
CISA ha establecido una fecha límite de cumplimiento obligatorio del 21 de julio de 2025, lo que exige que las agencias federales implementen mitigaciones proporcionadas por los proveedores o descontinuen el uso de productos vulnerables.
Esta directiva sigue las pautas de la Directiva operativa vinculante (BOD) 22-01, que exige a las agencias federales abordar las vulnerabilidades explotadas conocidas dentro de plazos específicos.
Las organizaciones deben aplicar inmediatamente las actualizaciones de seguridad publicadas por Citrix y seguir las instrucciones para protegerse contra amenazas continuas.
Para las implementaciones de servicios en la nube, se aplica la guía adicional de servicios en la nube BOD 22-01, que requiere capacidades mejoradas de monitoreo y respuesta a incidentes.
La naturaleza urgente de esta vulnerabilidad subraya la importancia crítica de mantener los niveles de parches actuales para los componentes de la infraestructura de red e implementar programas sólidos de gestión de vulnerabilidades en todos los entornos empresariales.
