Se identificó recientemente dos vulnerabilidades nuevas CVE-2025-5349 y CVE-2025-5777 para NetScaler y NetSacler Gateway.
CVE-2025-5349
La vulnerabilidad se trata de una falla de control de acceso en la interfaz de gestión (Management Interface) para los servicios de NetScaler y NetScaler Gateway. Esta permite que un atacante que posee acceso a direcciones internas como NSIP, IP de gestión de clúster o IP local de GSLB eludir restricciones fijas em esa interfaz.
Cabe recalcar que la vulnerabilidad solo puede ser explotada si el atacante tiene acceso a IPs en propiedad de NetScaler, dispositivo o direcciones IP de administrador del clúster.
Se le asigno una criticidad de CVSS: 8.7
¿Cómo funciona?
Funcionan aprovechándose de las interfaces dedicadas para la administración como: NSIP, NetScaler IP o la IP de administración de clúster.
Lo que deberías de hacer las interfaces es poder restringir algunas funciones administrativas, esto únicamente al tráfico autorizado o previamente autenticado.
Aquí es donde se encuentra la vulnerabilidad, debido a una configuración débil en el firmware afectado, algunas solicitudes enviadas desde direcciones internas pueden evadir estas restricciones.
Para esto no se requiere de una autenticación previa, esto quiere decir que, si un atacante posee acceso de red a alguna de estas IPs internas, podrías ejecutar funciones acciones que deberían de estar bloqueadas o requerir de privilegios más elevados.
Ejemplo – Simulación lógica de vulnerabilidad
CVE-2025-5777
Esta vulnerabilidad es clasificada como fallo de lectura fuera de límites esto debido a entradas insuficientes de validación, esto permite al atacante obtener datos importantes directamente de la memoria del dispositivo.
Es importante recalcar que esta vulnerabilidad es igual a una ya conocida como: CritixBleed (CVE-2023-4966)
Se le asigno una criticidad de CVSS: 9.3
¿Cómo funciona?
Lo principal es que el atacante conozca o detecte un dispositivo NetScaler configurado como Gateway (configurados como puerta de enlace) como: VPN, RDP, proxy, AAA, etc.
Este envía una solicitud malformada especialmente para el servicio Gateway expuesto en la red.
Debido a que no se tiene una validación adecuada, la solicitud provoca una lectura fuera de los limites autorizados de la memoria.
Lo que conlleva a que el atacante puede obtener tokens de sesión validos o algún tipo de información sensible alojada en la memoria.
Con estos tokens el atacante puede reproducir sesiones legítimas evitando autenticaciones, incluyendo MFA.
Ejemplo – Simulación lógica de vulnerabilidad
Consejos esenciales
Se recomienda finalizar todas las sesiones activas tras la actualización.
Esto asegura la invalidez de los tokens previamente expuestos.
Versiones afectadas
- NetScaler ADC y Gateway 1 versiones anteriores a 14.1‑43.56
- NetScaler ADC/Gateway 1 anteriores a 13.1‑58.32
- NetScaler ADC 1‑FIPS y NDcPP anteriores a 13.1‑37.235‑FIPS/NDcPP
- NetScaler ADC 1‑FIPS antes de 12.1‑55.328‑FIPS
Actualizaciones correspondientes
- NetScaler ADC y NetScaler Gateway 14.1-43.56 y versiones posteriores
- NetScaler ADC y NetScaler Gateway 13.1-58.32 y versiones posteriores de 13.1
- NetScaler ADC 13.1-FIPS y 13.1-NDcPP 13.1-37.235 y versiones posteriores de 13.1-FIPS y 13.1-NDcPP
- NetScaler ADC 12.1-FIPS 12.1-55.328 y versiones posteriores de 12.1-FIPS
Recomendaciones
- Audita tu infraestructura: identifica todas las instancias NetScaler ADC/Gateway y verifica versiones.
- Aplica las actualizaciones lo antes posible.
- Ejecuta los comandos para finalizar sesiones activas post-upgrade.
- Revisa cualquier configuración personalizada antes de actualizar.
