Citrix

Um grupo de atacantes avançados está explorando vulnerabilidades zero-day não divulgadas em sistemas críticos de empresas, utilizando webshells personalizados para obter acesso administrativo em redes comprometidas. A equipe de inteligência de ameaças da Amazon identificou uma campanha cibernética coordenada que visa o Cisco Identity Service Engine (ISE) e sistemas da Citrix, revelando táticas de um adversário altamente sofisticado. A vulnerabilidade CVE-2025-20337 no Cisco ISE permite a execução remota de código sem autenticação, enquanto a CVE-2025-5777 afeta sistemas Citrix. Após a exploração, os atacantes implantaram um webshell sofisticado disfarçado como um componente legítimo do Cisco ISE, utilizando técnicas avançadas de evasão para evitar a detecção. A operação foi realizada inteiramente na memória, dificultando a coleta de evidências forenses. As organizações devem implementar estratégias de defesa em profundidade e monitorar comportamentos anômalos para se proteger contra essas ameaças.

Uma vulnerabilidade crítica de Cross-Site Scripting (XSS) foi identificada nas plataformas Citrix NetScaler ADC e Gateway, afetando milhares de organizações globalmente. Classificada como CVE-2025-12101, essa falha permite que atacantes injetem scripts maliciosos em páginas web servidas por instâncias vulneráveis do NetScaler, possibilitando o sequestro de sessões, roubo de credenciais e a instalação de malware. Pesquisadores de segurança relataram que a vulnerabilidade já está sendo explorada em ataques reais, especialmente em configurações vulneráveis. As versões afetadas incluem NetScaler ADC e Gateway 14.1 anteriores à 14.1-56.73 e 13.1 anteriores à 13.1-60.32, além de variantes FIPS e versões descontinuadas 12.1 e 13.0, que não recebem mais atualizações de segurança. A Cloud Software Group, responsável pela Citrix, recomenda que as organizações realizem a atualização imediata para versões seguras para mitigar os riscos. A vulnerabilidade foi atribuída uma pontuação CVSSv4 de 5.9, considerada de severidade média, mas que pode subestimar o impacto real devido à exploração ativa. A situação exige atenção urgente, especialmente de empresas que utilizam o NetScaler para autenticação e acesso remoto seguro.

A equipe de inteligência da Amazon anunciou a descoberta de ataques cibernéticos que exploram vulnerabilidades zero-day em softwares da Cisco e Citrix. As falhas identificadas são a CVE-2025-5777, conhecida como Citrix Bleed 2, e a CVE-2025-20337, que afeta o Mecanismo de Identidade da Cisco. A primeira permite burlar autenticações no NetScaler ADC da Citrix, enquanto a segunda possibilita a execução remota de códigos sem autenticação, comprometendo o sistema operacional. Ambas as vulnerabilidades foram corrigidas em julho de 2025, mas a Amazon identificou que hackers estavam ativamente explorando essas falhas, utilizando um web shell customizado para se infiltrar em sistemas. Este backdoor, disfarçado como um componente legítimo, consegue operar na memória e monitorar requisições HTTP, utilizando técnicas de encriptação para evitar detecção. O Diretor de Segurança da Informação da Amazon, CJ Moses, destacou a necessidade de estratégias de defesa robustas para proteger a infraestrutura crítica de identidade e controle de acesso às redes, evidenciando o alto nível de sofisticação dos atacantes.

A equipe de inteligência de ameaças da Amazon divulgou que um ator de ameaça avançado explorou duas falhas de segurança zero-day em produtos da Cisco e Citrix, visando implantar malware personalizado. As vulnerabilidades identificadas são a CVE-2025-5777, uma falha de validação de entrada no Citrix NetScaler ADC, e a CVE-2025-20337, uma vulnerabilidade de execução remota de código no Cisco Identity Services Engine (ISE). Ambas foram corrigidas em 2025, mas foram ativamente exploradas antes da correção. A exploração da CVE-2025-20337 resultou na implantação de um web shell disfarçado como um componente legítimo do Cisco ISE, evidenciando a sofisticação do ataque. A Amazon descreveu o ator como altamente capacitado, capaz de utilizar múltiplas exploits zero-day, o que ressalta a necessidade de as organizações implementarem estratégias de defesa em profundidade e capacidades robustas de detecção de comportamentos anômalos. O relatório destaca que mesmo sistemas bem configurados podem ser vulneráveis a esses tipos de ataques, enfatizando a importância de limitar o acesso a portais de gerenciamento privilegiados.

Uma nova vulnerabilidade de execução remota de código (RCE) zero-day, identificada como CVE-2025-7775, está sendo ativamente explorada em dispositivos Citrix Netscaler ADC e Gateway em todo o mundo. Com mais de 28.200 instâncias ainda sem correção até 26 de agosto de 2025, essa falha representa uma ameaça urgente para redes corporativas, especialmente nos Estados Unidos e na Alemanha. A vulnerabilidade permite que atacantes não autenticados enviem requisições HTTP especialmente elaboradas para a interface de gerenciamento de um dispositivo vulnerável, resultando na execução de código arbitrário com privilégios de nsroot. Isso pode levar a um controle total do sistema, possibilitando a instalação de ransomware, backdoors persistentes e a exfiltração de dados sensíveis. A CISA incluiu CVE-2025-7775 em seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), exigindo que as agências federais dos EUA apliquem o patch imediatamente. A Citrix já disponibilizou um boletim de segurança com atualizações de firmware para corrigir a falha, e os administradores são aconselhados a aplicar as correções, revisar logs de servidores e isolar os dispositivos vulneráveis da internet até que as atualizações sejam implementadas.

A Cloud Software Group emitiu um alerta de segurança urgente sobre três vulnerabilidades críticas que afetam os produtos NetScaler ADC e NetScaler Gateway. A mais grave, identificada como CVE-2025-7775, possui um escore CVSS de 9.2 e permite a execução remota de código ou negação de serviço devido a condições de overflow de memória. Explorações dessa vulnerabilidade já foram observadas em dispositivos não mitigados, tornando a aplicação de patches uma prioridade imediata. As outras duas vulnerabilidades, CVE-2025-7776 e CVE-2025-8424, também apresentam riscos significativos, com escores de 8.8 e 8.7, respectivamente. A primeira está relacionada a configurações do NetScaler Gateway que podem levar a negação de serviço, enquanto a segunda envolve uma falha de controle de acesso na interface de gerenciamento do NetScaler, permitindo acesso administrativo não autorizado. A empresa recomenda a atualização para versões corrigidas, destacando a importância de agir rapidamente para proteger a infraestrutura de rede e dados sensíveis das organizações.

A Citrix anunciou a correção de três vulnerabilidades de segurança em seus produtos NetScaler ADC e NetScaler Gateway, sendo uma delas, identificada como CVE-2025-7775, alvo de exploração ativa. Essa vulnerabilidade, com uma pontuação CVSS de 9.2, permite a execução remota de código e/ou negação de serviço, enquanto as outras duas, CVE-2025-7776 e CVE-2025-8424, apresentam pontuações de 8.8 e 8.7, respectivamente, e podem causar comportamentos errôneos e problemas de controle de acesso. Para que as falhas sejam exploradas, configurações específicas do NetScaler são necessárias, como a utilização como Gateway ou a presença de perfis PCoIP. As versões afetadas incluem o NetScaler ADC e Gateway 13.1 e 14.1, com correções disponíveis nas versões mais recentes. A Citrix reconheceu a contribuição de pesquisadores na identificação dessas vulnerabilidades. Este incidente é parte de uma série de falhas críticas que têm sido descobertas em um curto espaço de tempo, destacando a necessidade de atenção contínua à segurança em ambientes corporativos que utilizam essas tecnologias.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu três vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), relacionadas ao Citrix Session Recording e ao Git. As falhas CVE-2024-8068 e CVE-2024-8069, ambas com uma pontuação CVSS de 5.1, permitem a escalada de privilégios e execução remota de código, respectivamente, quando um atacante é um usuário autenticado na mesma rede do servidor de gravação de sessões. A terceira vulnerabilidade, CVE-2025-48384, com uma pontuação CVSS de 8.1, está relacionada ao Git e resulta em execução arbitrária de código devido ao tratamento inconsistente de caracteres de retorno de carro em arquivos de configuração. As falhas da Citrix foram corrigidas em novembro de 2024, enquanto a vulnerabilidade do Git foi abordada em julho de 2025. A CISA não forneceu detalhes adicionais sobre a atividade de exploração, mas exigiu que as agências federais implementassem as mitig ações necessárias até 15 de setembro de 2025.