Citrix Bleed 2漏洞正遭受攻击

安全分析师表示，在备受关注的Citrix NetScaler Application Delivery Controller (ADC)和NetScaler Gateway设备中最新发现的漏洞，其严重程度堪比2023年的Citrix Bleed缺陷，目前似乎正在遭受未披露威胁行为者的攻击。

CVE-2025-5777被分配了9.3的关键CVSS评分，从技术角度来说，这是一个由输入验证不充分引起的越界读取缺陷。独立研究员Kevin Beaumont将CVE-2025-5777称为"Citrix Bleed 2"，据报告该漏洞与Citrix Bleed（CVE-2023-4966）相似，其最终影响是允许攻击者通过从NetScaler设备内存中窃取有效会话令牌来劫持已认证会话并绕过多因素身份验证（MFA）。

原始的Citrix Bleed漏洞被证明是网络犯罪分子的一个高效工具，被当时一些最知名的勒索软件团伙（包括LockBit）利用，因此对安全负责人和防护者的信息是，在发现这个最新缺陷后不要浪费时间，立即打补丁。

然而，对于一些组织来说，这个指导可能已经来得太晚了，因为根据ReliaQuest威胁研究团队分享的情报，威胁行为者已经开始大举进攻。

"虽然尚未出现对此漏洞利用的公开报告，但ReliaQuest已经观察到了利用该漏洞获得初始访问权限的迹象，"ReliaQuest团队表示。"ReliaQuest以中等置信度评估，攻击者正在积极利用此漏洞来获得对目标环境的初始访问权限。

"Citrix建议将受影响的系统修补到最新版本，并终止活动会话以减轻会话劫持和进一步利用的风险。"

ReliaQuest特别指出，其分析师收集到的证据显示，多个来自NetScaler设备的Citrix Web会话被劫持，其中身份验证似乎在用户不知情的情况下被授予——这清楚地表明可能发生了MFA绕过。

该团队还发现了跨多个IP地址的会话重用证据，包括预期和可疑IP的组合；与Active Directory设置潜在侦察相关的轻量级目录访问协议（LDAP）查询；以及在用户环境中多次发现'ADExplorer64.exe'工具查询域级组和权限并连接到多个域控制器的实例。

最后，ReliaQuest团队表示，他们还观察到了来自数据中心托管IP地址的大量Citrix会话，这表明可能使用了消费者VPN服务。

所有这些点——单独或组合——都可能表明威胁行为者正在枚举潜在受害者环境，防护者应该警惕这些迹象。

NetScaler ADC和Gateway用户应该确保按照Citrix的建议更新到最新版本，完成后还强烈建议运行一系列命令来终止活动的ICA和PCoIP会话。

Google Cloud的Mandiant公司首席技术官Charles Carmakal在LinkedIn上写道，后一点对于防护者来说特别重要。

他回忆起在第一次Citrix Bleed事件高峰期，许多受害者发现尽管打了补丁，会话密钥已经被窃取，因此攻击者能够在设备表面上已经修复的情况下保持访问权限。这导致了比原本可能发生的更多的入侵事件。