安全分析师表示,在备受关注的Citrix NetScaler Application Delivery Controller (ADC)和NetScaler Gateway设备中最新发现的漏洞,其严重程度堪比2023年的Citrix Bleed缺陷,目前似乎正在遭受未披露威胁行为者的攻击。
CVE-2025-5777被分配了9.3的关键CVSS评分,从技术角度来说,这是一个由输入验证不充分引起的越界读取缺陷。独立研究员Kevin Beaumont将CVE-2025-5777称为"Citrix Bleed 2",据报告该漏洞与Citrix Bleed(CVE-2023-4966)相似,其最终影响是允许攻击者通过从NetScaler设备内存中窃取有效会话令牌来劫持已认证会话并绕过多因素身份验证(MFA)。
原始的Citrix Bleed漏洞被证明是网络犯罪分子的一个高效工具,被当时一些最知名的勒索软件团伙(包括LockBit)利用,因此对安全负责人和防护者的信息是,在发现这个最新缺陷后不要浪费时间,立即打补丁。
然而,对于一些组织来说,这个指导可能已经来得太晚了,因为根据ReliaQuest威胁研究团队分享的情报,威胁行为者已经开始大举进攻。
"虽然尚未出现对此漏洞利用的公开报告,但ReliaQuest已经观察到了利用该漏洞获得初始访问权限的迹象,"ReliaQuest团队表示。"ReliaQuest以中等置信度评估,攻击者正在积极利用此漏洞来获得对目标环境的初始访问权限。
"Citrix建议将受影响的系统修补到最新版本,并终止活动会话以减轻会话劫持和进一步利用的风险。"
ReliaQuest特别指出,其分析师收集到的证据显示,多个来自NetScaler设备的Citrix Web会话被劫持,其中身份验证似乎在用户不知情的情况下被授予——这清楚地表明可能发生了MFA绕过。
该团队还发现了跨多个IP地址的会话重用证据,包括预期和可疑IP的组合;与Active Directory设置潜在侦察相关的轻量级目录访问协议(LDAP)查询;以及在用户环境中多次发现'ADExplorer64.exe'工具查询域级组和权限并连接到多个域控制器的实例。
最后,ReliaQuest团队表示,他们还观察到了来自数据中心托管IP地址的大量Citrix会话,这表明可能使用了消费者VPN服务。
所有这些点——单独或组合——都可能表明威胁行为者正在枚举潜在受害者环境,防护者应该警惕这些迹象。
NetScaler ADC和Gateway用户应该确保按照Citrix的建议更新到最新版本,完成后还强烈建议运行一系列命令来终止活动的ICA和PCoIP会话。
Google Cloud的Mandiant公司首席技术官Charles Carmakal在LinkedIn上写道,后一点对于防护者来说特别重要。
他回忆起在第一次Citrix Bleed事件高峰期,许多受害者发现尽管打了补丁,会话密钥已经被窃取,因此攻击者能够在设备表面上已经修复的情况下保持访问权限。这导致了比原本可能发生的更多的入侵事件。
好文章,需要你的鼓励
Colt科技服务公司推出超低延迟云连接服务Colt ULL DCA,专门面向加密货币交易商和AI应用开发企业的高速需求。该服务结合超低延迟网络和专用云接入平台,绕过公共互联网提供专用高速路径。在AWS亚洲区域测试中,平均延迟比原生路由降低15%。随着亚太地区数字资产交易成熟和AI需求爆发,企业对安全高性能连接需求激增,Colt正加速在东南亚扩张布局。
约翰霍普金斯大学研究团队开发了ETTIN模型套件,首次实现了编码器和解码器模型的公平比较。研究发现编码器擅长理解任务,解码器擅长生成任务,跨界训练效果有限。该研究为AI模型选择提供了科学依据,所有资料已开源供学术界使用。
皮尤研究中心最新分析显示,谷歌搜索结果页面的AI概述功能显著降低了用户对其他网站的点击率。研究发现,没有AI回答的搜索点击率为15%,而有AI概述的搜索点击率降至8%。目前约五分之一的搜索会显示AI概述,问题类搜索中60%会触发AI回答。尽管谷歌声称AI概述不会影响网站流量,但数据表明用户看到AI生成的信息后更容易结束浏览,这可能导致错误信息的传播。
博洛尼亚大学团队开发出情感增强的AI系统,通过结合情感分析和文本分类技术,显著提升了新闻文章中主观性表达的识别准确率。该研究覆盖五种语言,在多项国际评测中取得优异成绩,为打击虚假信息和提升媒体素养提供了新工具。