【安全资讯】1200多台Citrix服务器未修补关键身份验证绕过漏洞

概要：

近日，超过1200台Citrix NetScaler ADC和NetScaler Gateway设备在线暴露，未修补一个被认为正在被积极利用的关键漏洞，该漏洞允许威胁行为者通过劫持用户会话来绕过身份验证。这一漏洞被追踪为CVE-2025-5777，被称为“Citrix Bleed 2”，是一个由于输入验证不足导致的内存越界读取漏洞，使未经认证的攻击者能够访问受限制的内存区域。

主要内容：

CVE-2025-5777漏洞的利用可能导致威胁行为者从面向公众的网关和虚拟服务器中窃取会话令牌、凭据和其他敏感数据，从而劫持用户会话并绕过多因素认证（MFA）。Citrix在6月17日的公告中警告客户，在将所有NetScaler设备升级到修补版本后，终止所有活动的ICA和PCoIP会话，以阻止潜在攻击。

网络安全非营利组织Shadowserver Foundation的安全分析师发现，截至本周一，仍有2100台设备易受CVE-2025-5777攻击。尽管Citrix尚未确认该漏洞在野外被利用，但网络安全公司ReliaQuest周四报告称，有中等信心认为该漏洞已在针对性攻击中被滥用。

ReliaQuest发现了未经授权的Citrix访问后的利用活动迹象，包括劫持的Citrix网络会话表明成功的MFA绕过尝试、跨多个IP地址（包括可疑IP）的会话重用，以及与Active Directory侦察活动相关的LDAP查询。此外，Shadowserver还发现超过2100台NetScaler设备未修补另一个关键漏洞（CVE-2025-6543），该漏洞现已被用于拒绝服务（DoS）攻击。

鉴于这两个漏洞均被标记为严重级别，建议管理员尽快部署Citrix的最新补丁。企业还应审查其访问控制措施，并监控Citrix NetScaler设备上的可疑用户会话和活动。