Citrix緊急修補NetScaler重大漏洞 CVE-2025-6543遭攻擊者大規模利用

Citrix近日發布緊急安全公告，警告其NetScaler ADC和NetScaler Gateway設備中的重大漏洞CVE-2025-6543正遭到攻擊者積極利用，該漏洞可導致設備進入拒絕服務狀態，嚴重影響企業網路運作。

漏洞詳情與影響範圍

CVE-2025-6543是一個記憶體溢位漏洞，CVSS評分高達9.2分，攻擊者可透過未經認證的遠端請求觸發該漏洞，導致NetScaler設備離線。Citrix在公告中明確表示「已觀察到未修補設備遭受CVE-2025-6543的攻擊利用」。

該漏洞影響以下版本的NetScaler產品：14.1版本（14.1-47.46之前）、13.1版本（13.1-59.19之前），以及NetScaler ADC 13.1-FIPS和NDcPP（13.1-37.236-FIPS和NDcPP之前）。特別值得注意的是，12.1和13.0版本不僅存在漏洞，且已達生命週期終點，將不再獲得安全更新。

該漏洞僅影響配置為閘道器，包含：VPN虛擬伺服器、ICA代理、無客戶端VPN、RDP代理或AAA虛擬伺服器的NetScaler設備。採用安全私有存取本地部署或混合部署的NetScaler實例同樣受到影響。

CitrixBleed 2威脅再現

這次漏洞攻擊事件讓資安專家聯想到2023年造成重大損失的CitrixBleed攻擊。網路安全專家Kevin Beaumont將最近發現的漏洞稱為「CitrixBleed 2」，警告數千個NetScaler安裝實例暴露在網際網路上。

除了CVE-2025-6543之外，Citrix近期還修補了另外兩個關鍵漏洞CVE-2025-5349 和 CVE-2025-5777。其中CVE-2025-5777的CVSS評分達到9.3分，允許威脅行為者透過提取設備記憶體中的會話令牌來劫持用戶會話，進而繞過多因素驗證等認證控制措施。

英國國民健康服務署(NHS)發布專門通知，將這些新漏洞與2023年的CitrixBleed進行比較，重申當年該漏洞遭勒索軟體集團大量濫用的嚴重性。NHS指出，CVE-2025-5777可能暴露會話令牌等敏感資訊，攻擊者可利用這些令牌劫持現有會話，在繞過多因素驗證的情況下存取網路。

攻擊規模與產業衝擊

原始的CitrixBleed漏洞在2023年引起防禦者高度警戒，主要因為歐美許多醫院和關鍵基礎設施組織都使用NetScaler ADC和NetScaler Gateway。美國網路安全暨基礎設施安全局當時警告超過300個組織面臨CitrixBleed攻擊風險。

勒索軟體集團和國家級駭客組織利用CitrixBleed攻擊了數十個政府組織和大型企業，包括波音和豐田等知名公司。這些攻擊者成功滲透NetScaler設備後，進一步在企業環境中進行橫向移動。

雖然研究人員推測這三個漏洞可能存在關聯性，但Citrix尚未對此發表評論。目前也缺乏CVE-2025-6543在實際攻擊中如何被利用的詳細資訊。

緊急應對措施

Citrix強烈建議客戶立即安裝軟體更新版本。公司已在NetScaler ADC和Gateway 14.1-47.46、13.1-59.19，以及ADC 13.1-FIPS和13.1-NDcPP 13.1-37.236及後續版本中修復此漏洞。

由於兩個漏洞都屬於重大安全缺陷，管理員應儘快套用Citrix提供的最新修補程式。企業還應監控其NetScaler實例是否出現異常用戶會話和不正常行為，並檢視存取控制設定。

對於使用已達生命週期終點版本的組織，建議立即升級至受支援的版本，以確保能夠獲得持續的安全更新。

資安專家建議企業除了立即修補漏洞外，還應建立完善的資產管理制度，確保能夠及時識別和更新所有網路設備。同時建立異常行為監控機制，以便早期發現潛在的攻擊活動。

隨著網路攻擊手法日益精進，企業必須將邊界設備的安全維護視為最高優先級任務，避免重蹈2023年CitrixBleed大規模攻擊的覆轍。