安全分析师表示,在备受关注的Citrix NetScaler Application Delivery Controller (ADC)和NetScaler Gateway设备中最新发现的漏洞,其严重程度堪比2023年的Citrix Bleed缺陷,目前似乎正在遭受未披露威胁行为者的攻击。
CVE-2025-5777被分配了9.3的关键CVSS评分,从技术角度来说,这是一个由输入验证不充分引起的越界读取缺陷。独立研究员Kevin Beaumont将CVE-2025-5777称为"Citrix Bleed 2",据报告该漏洞与Citrix Bleed(CVE-2023-4966)相似,其最终影响是允许攻击者通过从NetScaler设备内存中窃取有效会话令牌来劫持已认证会话并绕过多因素身份验证(MFA)。
原始的Citrix Bleed漏洞被证明是网络犯罪分子的一个高效工具,被当时一些最知名的勒索软件团伙(包括LockBit)利用,因此对安全负责人和防护者的信息是,在发现这个最新缺陷后不要浪费时间,立即打补丁。
然而,对于一些组织来说,这个指导可能已经来得太晚了,因为根据ReliaQuest威胁研究团队分享的情报,威胁行为者已经开始大举进攻。
"虽然尚未出现对此漏洞利用的公开报告,但ReliaQuest已经观察到了利用该漏洞获得初始访问权限的迹象,"ReliaQuest团队表示。"ReliaQuest以中等置信度评估,攻击者正在积极利用此漏洞来获得对目标环境的初始访问权限。
"Citrix建议将受影响的系统修补到最新版本,并终止活动会话以减轻会话劫持和进一步利用的风险。"
ReliaQuest特别指出,其分析师收集到的证据显示,多个来自NetScaler设备的Citrix Web会话被劫持,其中身份验证似乎在用户不知情的情况下被授予——这清楚地表明可能发生了MFA绕过。
该团队还发现了跨多个IP地址的会话重用证据,包括预期和可疑IP的组合;与Active Directory设置潜在侦察相关的轻量级目录访问协议(LDAP)查询;以及在用户环境中多次发现'ADExplorer64.exe'工具查询域级组和权限并连接到多个域控制器的实例。
最后,ReliaQuest团队表示,他们还观察到了来自数据中心托管IP地址的大量Citrix会话,这表明可能使用了消费者VPN服务。
所有这些点——单独或组合——都可能表明威胁行为者正在枚举潜在受害者环境,防护者应该警惕这些迹象。
NetScaler ADC和Gateway用户应该确保按照Citrix的建议更新到最新版本,完成后还强烈建议运行一系列命令来终止活动的ICA和PCoIP会话。
Google Cloud的Mandiant公司首席技术官Charles Carmakal在LinkedIn上写道,后一点对于防护者来说特别重要。
他回忆起在第一次Citrix Bleed事件高峰期,许多受害者发现尽管打了补丁,会话密钥已经被窃取,因此攻击者能够在设备表面上已经修复的情况下保持访问权限。这导致了比原本可能发生的更多的入侵事件。
好文章,需要你的鼓励
海外博主做了一次 Siri AI、ChatGPT、Claude 横评。看完之后我最大的感受是,AI 助手的竞争已经不只是模型能力,而是谁离用户更近。
南京大学提出Light-Omni框架,通过全局状态与潜在状态双机制,让AI视频助理无需反复推理即可实现精准记忆检索,速度提升逾12倍,准确率同步提高。
Uber年度失物报告首次纳入无人驾驶出租车数据。过去一年,乘客在Uber平台的机器人出租车中遗留了数千件物品,包括手机、钥匙、钱包等常见物品,以及假牙、15磅溜溜球等奇特物件。乘客可通过App联系客服找回失物,支付15美元即可享受同城配送,或前往车辆停放站自取。Uber表示,将依托现有运营体系为自动驾驶业务提供全面支持,计划2025年底前在全球15座城市开通无人驾驶打车服务。
TREK方法通过引入外部验证解法对AI进行短期校准,解决了GRPO训练在困难题目上因无法探索正确解法区域而陷入瓶颈的问题,在数学推理和智能体任务上均取得明显提升。