Los piratas informáticos ya estaban dentro de la oficina: Por qué los usuarios de Citrix necesitan actuar ahora

Por Max van der Linden, Especialista en seguridad senior

Imagine su edificio de oficinas. La puerta principal tiene una cerradura electrónica y un guardia de seguridad en el mostrador. Todos los empleados pasan su tarjeta de identificación, los visitantes se registran y todo parece seguro.

Pero hace meses, alguien descubrió una vulnerabilidad en la cerradura de la puerta principal. Lo que les permitió entrar y salir libremente del edificio. Mientras estaban dentro, tuvieron la oportunidad de construir túneles secretos que conducían al sótano, abrieron una ventana lateral en la oficina de seguridad y puede que incluso colocaran micrófonos en las salas de reuniones.

Esto es lo que está ocurriendo ahora mismo con los dispositivos NetScaler de Citrix.

La irrupción

Su NetScaler es esa puerta de entrada segura para los empleados que se conectan de forma remota. Se supone que es la única forma segura de entrar en el edificio desde el exterior.

La vulnerabilidad CVE-2025-6543 es como un problema con la cerradura que permite a los atacantes entrar sin pasar una tarjeta de identificación.

Esto hace posible:

• Instalar web shells, que es como construir un túnel secreto en caso de que se arregle la cerradura pero el atacante siga queriendo entrar.
• Borrar los registros de visitantes para que la seguridad no sepa que han estado allí.

Además, hay más problemas que se han solucionado recientemente:

• CVE-2025-5777 es como tener un archivador oculto en el vestíbulo que filtra notas de reuniones privadas y llaves maestras a cualquiera que sepa dónde buscar.
• CVE-2025-5349 es como dejar la puerta de la sala de control sin cerrar para que cualquiera pueda colarse y trastear con los sistemas del edificio.

He aquí el truco

Citrix ha sustituido ahora la cerradura defectuosa, ha retirado el archivador y ha vuelto a cerrar la puerta de la sala de control, pero un atacante podría haber estado dentro meses antes.

Aunque haya cambiado la cerradura el primer día del arreglo, los túneles, las entradas ocultas y las ventanas desbloqueadas podrían seguir ahí.

Lo que hay que hacer

1. Sustituya la cerradura frontal

Instale las últimas actualizaciones de seguridad de Citrix. Si su puerta delantera aún tiene la cerradura antigua, los intrusos aún pueden entrar.

2. Desaloje el edificio

Obligue a todo el mundo a abandonar el edificio y hágales mostrar su tarjeta de acceso si quieren volver a entrar. En NetScaler, eso significa ejecutar

kill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessions

3. Barrer en busca de túneles y entradas ocultas

• Utilice las herramientas de barrido del NCSC holandés para encontrar archivos plantados y puertas traseras: https://github.com/NCSC-NL/citrix-2025
• Compruebe cada "piso" (directorio del sistema) en busca de cosas que no deberían estar allí
• Busque nuevas "llaves maestras" (cuentas de administrador) que usted no haya emitido

4. Cambie todas las claves y códigos de alarma

• Restablezca todas las contraseñas de administrador
• Vuelva a emitir los tokens y certificados VPN

5. Asegure la sala de control

• Mantenga el panel de gestión NetScaler fuera de la Internet abierta
• Sólo permita el acceso desde una pequeña lista de orígenes de confianza (direcciones IP)

6. Vigile las cámaras

• Active el registro completo
• Esté atento a pases de credenciales (inicios de sesión) inusuales, horarios extraños o cambios en los sistemas del edificio

Si se encuentra con un comportamiento inusual, descubre un túnel oculto o necesita ayuda. Póngase en contacto con nuestros representantes de ventas en cybersecurity@bureauveritas.com.

La verdadera lección

No se trata sólo de cambiar la cerradura de la puerta principal. Se trata de encontrar y cerrar todas las entradas secretas que el intruso dejó tras de sí. Si sólo cambia la cerradura y se marcha, aún podría tener a alguien en el sótano, conectado a su cableado, esperando el momento adecuado para atacar.

FUENTES:

https://thehackernews.com/2025/08/dutch-ncsc-confirms-active-exploitation.html
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420&artic%5B%E2%80%A6%5Dteway_Security_Bulletin_for_CVE_2025_5349_and_CVE_2025_5777=