Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Hackers Aprovechan Fallas en Citrix y Cisco para Ataques Zero-Day

Escrito por Gustavo Sánchez | Nov 13, 2025 1:15:00 PM

Las vulnerabilidades sin parche, conocidas como zero-day, siguen siendo una de las amenazas más peligrosas para las empresas. En los últimos meses, investigadores de Amazon Threat Intelligence descubrieron que un grupo avanzado de atacantes explotó fallas críticas en Citrix y Cisco antes de que estas compañías publicaran las correcciones de seguridad.

Los ataques aprovecharon dos vulnerabilidades graves:

 

  1. Citrix Bleed 2 (CVE-2025-5777), que afecta a NetScaler ADC y Gateway

 

  1. CVE-2025-20337, una falla de Cisco Identity Services Engine (ISE).

 

Ambas fueron utilizadas como zero-days, es decir, se explotaron antes de que existieran parches o alertas públicas. Este hallazgo deja claro que incluso los entornos corporativos más protegidos pueden ser vulnerables si no cuentan con monitoreo constante ni una estrategia integral de seguridad.

 

Cómo comenzó todo: el hallazgo de Amazon

 

El equipo de inteligencia de amenazas de Amazon analizó datos de su sistema MadPot, una red de honeypots diseñada para detectar actividad maliciosa. Según sus reportes, los intentos de explotación de Citrix Bleed 2 comenzaron antes de que la vulnerabilidad se hiciera pública, lo que indica que los atacantes ya conocían la falla y la estaban usando en secreto.

Durante la investigación, Amazon detectó un comportamiento anómalo en los mismos ataques: un payload inusual que también afectaba a Cisco ISE. Este descubrimiento permitió identificar una segunda vulnerabilidad, la CVE-2025-20337, que utilizaba un proceso de deserialización inseguro para ejecutar código malicioso dentro del sistema.

 

Qué son y cómo afectan estas vulnerabilidades

 

Citrix Bleed 2 (CVE-2025-5777)

 

Esta falla permite una lectura de memoria fuera de límites (out-of-bounds memory read), lo que podría exponer información sensible o credenciales internas. Afecta a NetScaler ADC y Gateway, herramientas ampliamente utilizadas para la gestión de aplicaciones y el acceso remoto seguro en grandes corporaciones.

Citrix publicó parches en junio de 2025, pero para entonces ya circulaban exploits públicos y la agencia estadounidense CISA confirmó que se trataba de una vulnerabilidad explotada activamente.

 

Cisco ISE (CVE-2025-20337)

 

El problema en Cisco Identity Services Engine es aún más grave. Con una puntuación de severidad máxima, permite a un atacante sin autenticación almacenar archivos maliciosos, ejecutar comandos arbitrarios y obtener privilegios de administrador (root) en los dispositivos afectados.

Cisco publicó su aviso de seguridad el 17 de julio de 2025, advirtiendo que la falla ya estaba siendo explotada. Apenas cinco días después, se confirmaron ataques activos, y el investigador Bobby Gould publicó detalles técnicos sobre cómo encadenar vulnerabilidades para obtener acceso total.

 

 

Cómo se ejecutaron los ataques

 

El análisis de Amazon reveló que los atacantes usaron ambas vulnerabilidades en conjunto para infiltrarse en redes empresariales. Tras explotar Citrix Bleed 2, se movieron lateralmente hacia dispositivos Cisco ISE, donde desplegaron un web shell personalizado llamado “IdentityAuditAction”.

Este archivo malicioso estaba disfrazado como un componente legítimo de ISE, y funcionaba como una puerta trasera persistente. Entre sus características más sofisticadas destacan:

 

  1. Registro como listener HTTP: intercepta todas las solicitudes web dirigidas al servidor.

 

  1. Inyección de código en hilos de Tomcat mediante Java Reflection.

 

  1. Uso de cifrado DES con una codificación Base64 modificada para evitar detección.

 

  1. Protección mediante cabeceras HTTP específicas, lo que hacía imposible acceder sin conocer las claves exactas.

 

  1. Mínimos rastros forenses, dificultando su detección incluso en auditorías profundas.

 

Todo esto indica un alto nivel de conocimiento técnico sobre la arquitectura de Java, Tomcat y Cisco ISE, algo que solo un grupo APT (Amenaza Persistente Avanzada) con amplios recursos podría lograr.

 

Un actor avanzado, pero con un comportamiento inusual

 

Amazon no pudo atribuir los ataques a ningún grupo conocido, aunque las técnicas y la sofisticación sugieren una operación respaldada por una organización bien financiada. Sin embargo, lo curioso fue que los ataques no parecían dirigidos a un objetivo específico, sino más bien indiscriminados, lo cual es inusual para actores APT que normalmente operan con precisión quirúrgica.

Esto podría significar que los atacantes estaban probando las vulnerabilidades antes de lanzar una campaña más amplia, o que buscaban recopilar información inicial sobre posibles víctimas.

 

Lee más: Identificando Ataques Zero-Day con Wazuh

 

Qué aprendimos de este caso

 

Este incidente deja varias lecciones importantes para las empresas y los equipos de ciberseguridad:

 

  1. La velocidad de respuesta es clave. Las vulnerabilidades pueden ser explotadas incluso antes de su divulgación pública. Los equipos deben actuar rápido ante cualquier parche crítico.

 

  1. Las actualizaciones no bastan por sí solas. Es fundamental combinar los parches con capas adicionales de protección, como firewalls, segmentación de red y sistemas de detección de anomalías.

 

  1. El monitoreo proactivo puede marcar la diferencia. Plataformas de inteligencia de amenazas y honeypots, como MadPot, ayudan a identificar ataques en etapas tempranas.

 

  1. El código malicioso ya no siempre deja rastros visibles. Los atacantes usan cifrados y técnicas anti-forenses que requieren análisis profundo y automatizado para ser detectados.

 

Medidas de protección recomendadas

 

Desde TecnetOne te sugerimos adoptar un enfoque de defensa en profundidad frente a amenazas zero-day como estas. Aquí algunos pasos esenciales:

 

  1. Actualiza inmediatamente Citrix y Cisco ISE.
    Asegúrate de aplicar los parches oficiales correspondientes a CVE-2025-5777 y CVE-2025-20337.

 

  1. Restringe el acceso a la red perimetral.
    Configura tus firewalls para limitar quién puede acceder a los dispositivos Citrix y Cisco. Evita exponer paneles de administración a internet.

 

  1. Implementa segmentación de red.
    Divide los entornos de producción y administración. Así, si un atacante entra, no podrá desplazarse fácilmente entre sistemas.

 

  1. Refuerza la autenticación.
    Usa autenticación multifactor (MFA) y revisa los permisos de usuarios privilegiados.

 

  1. Monitorea el tráfico HTTP anómalo.
    Los web shells como IdentityAuditAction interceptan solicitudes y manipulan cabeceras. Analizar patrones inusuales en los logs puede revelar su presencia.

 

  1. Realiza auditorías regulares.
    Evalúa configuraciones de seguridad, versiones de firmware y plugins de terceros. La detección temprana puede evitar compromisos mayores.

 

  1. Crea un plan de respuesta a incidentes.
    Tener un protocolo claro reduce los tiempos de reacción y minimiza el impacto ante vulnerabilidades desconocidas.

 

Un panorama que exige anticipación

 

Este caso demuestra que incluso los proveedores más grandes del mundo, como Citrix y Cisco, pueden ser vulnerables antes de conocer sus propias fallas. Los atacantes se adelantan, analizan el software empresarial más usado y buscan puntos débiles invisibles.

En este contexto, la ciberseguridad preventiva ya no es opcional: es la única manera de sobrevivir. La clave está en anticiparse, reforzar los controles internos y monitorear el comportamiento del entorno digital las 24 horas.

En TecnetOne, creemos que la seguridad no debe ser una reacción, sino una práctica constante. Los ataques zero-day son inevitables, pero su impacto puede reducirse drásticamente con una estrategia sólida, visibilidad total y cultura digital consciente.

 
Ver post completo