Milhares de instâncias do Citrix NetScaler expostas à internet estão vulneráveis a ataques que visam duas vulnerabilidades críticas recentemente divulgadas, incluindo uma que está sendo explorada como zero-day.
As falhas, identificadas como CVE-2025-5777 (pontuação CVSS de 9.3) e CVE-2025-6543 (pontuação CVSS de 9.2), decorrem de problemas de validação insuficiente de entrada e de estouro de memória, afetando instâncias do NetScaler configuradas como gateway para acesso remoto ou como servidor virtual AAA.
A exploração bem-sucedida desses bugs pode possibilitar a leitura de memória fora dos limites, alterar o fluxo de controle de forma inesperada e provocar ataques de negação de serviço (DoS).
Logo após a divulgação da CVE-2025-5777, em 17 de junho, o pesquisador de segurança Kevin Beaumont observou sua semelhança com a CVE-2023-4966, conhecida como CitrixBleed, alertando que dezenas de milhares de instâncias potencialmente afetadas poderiam estar expostas na internet.
Na semana passada, a empresa de cibersegurança ReliaQuest reportou evidências de que a vulnerabilidade CVE-2025-5777 pode estar sendo explorada no ambiente real para obter acesso inicial. Conhecida como CitrixBleed2, essa falha possibilita contornar os mecanismos de autenticação e facilita o sequestro de sessão.
Em 25 de junho, a Citrix alertou que a CVE-2025-6543 estava sendo explorada in-the-wild como uma zero-day, recomendando a aplicação imediata dos patches. A empresa pontuou que versões descontinuadas do NetScaler ADC e do NetScaler Gateway, como as 12.1 e 13.0, também estão sujeitas à vulnerabilidade.
Em 30 de junho, a agência de cibersegurança dos EUA, CISA, incorporou a CVE-2025-6543 ao seu catálogo de Vulnerabilidades Conhecidamente Exploradas (KEV), orientando as agências federais a corrigirem as instâncias vulneráveis em seus ambientes até 21 de julho.
Tanto a Censys quanto a The Shadowserver Foundation alertam que milhares de instâncias do NetScaler, potencialmente vulneráveis a pelo menos um desses defeitos de segurança, continuam expostas à internet.
Dada a gravidade dessas vulnerabilidades e o interesse crescente de agentes mal-intencionados em explorá-las, recomenda-se que as organizações apliquem os patches de segurança em suas instâncias NetScaler o mais rapidamente possível.
