研究人員已發佈針對 Citrix NetScaler 重大漏洞的概念驗證(PoC)攻擊程式。資安專家警告,此漏洞極易被利用,且能成功竊取使用者的連線權杖。
CitrixBleed2 漏洞影響 Citrix NetScaler ADC 和 Gateway 設備,駭客只需在登入過程中發送格式錯誤的 POST 請求,就能讀取系統記憶體內容。
此嚴重資安漏洞之所以被命名為
CitrixBleed2,是因為它與 2023 年的 CitrixBleed (CVE-2023-4966) 漏洞極為相似,後者曾被勒索軟體集團利用並在政府機構網路攻擊中用來劫持使用者連線狀態並入侵內部網路。
該漏洞編號為 CVE-2025-5777,屬於嚴重的記憶體洩漏漏洞(CVSS 分數:9.3),影響 Citrix NetScaler ADC 和 Gateway 裝置版本 13.1(低於 13.1-58.32)和 14.1(低於 14.1-43.56)。
根據資安業者 watchTowr 與 Horizon3 後續發布的技術分析,研究人員證實該漏洞可透過發送異常的登入請求進行攻擊,具體手法是修改 login= 參數,讓它在發送時不包含等號或參數值。以下是 WatchTowr 分析的 CitrixBleed 2 漏洞攻擊流程:
- 惡意請求送出:駭客向 Citrix Gateway 登入頁面發送特殊構造的 HTTP POST 請求,透過特定方式修改登入參數,利用系統記憶體管理漏洞
- 伺服器回應洩露機敏資料:伺服器返回包含特定標籤的 XML 回應。若系統存在漏洞,此標籤會因處理不當而洩露未初始化的記憶體內容
- 連線權杖擷取與濫用:駭客可透過重複發送這些請求,取得儲存在記憶體中的機敏連線權杖。若成功,可能導致連線劫持和繞過多因子驗證(MFA),進而未經授權存取系統
漏洞是否已遭濫用?
儘管 Citrix 一再堅稱此漏洞尚未被駭客利用,但資安業者 ReliaQuest 六月的分析報告顯示,
已有跡象表明 CVE-2025-5777 可能已被用於實際攻擊,該公司觀察到帳號遭劫持的案例明顯增加。此外,資安專家 Kevin Beaumont 更直接指出,這個資安漏洞從六月中就已被駭客積極濫用,攻擊者透過此漏洞竊取記憶體資料並成功劫持使用者登入狀態。
安全研究員特別指出下列入侵跡象:
- Netscaler 系統紀錄中反覆出現對 doAuthentication 的 POST 請求 ,且每次請求可竊取 126 位元組的記憶體資料
- Netscaler 系統紀錄中發現向 doAuthentication.do 發送的請求含有 "Content-Length: 5" 標頭
- Netscaler 使用者紀錄中出現包含 LOGOFF 且使用者帳號名稱為「#」(即使用者名稱中有 # 符號)的紀錄項目,這表示記憶體內容被錯誤地寫入不應出現的欄位
Beaumont 提醒,他只能透過 WatchTowr 和 Horizon3 的技術分析報告才發現這些攻擊行為。Citrix 技術支援不願提供任何攻擊指標(IOC),還錯誤地宣稱沒有實際攻擊案例,而這種狀況在先前的 CitrixBleed 事件中也曾出現。
Citrix 已發布修補程式以解決 CVE-2025-5777 漏洞。由於可利用程式碼已公開,所有組織均被強烈建議立即套用這些更新。雖然 Citrix 建議終止所有活躍的 ICA 和 PCoIP 連線工作階段,但系統管理者應先檢查現有工作階段是否存在可疑活動,再執行此操作。
本文轉載自 InfosecurityMagazine、BleepingComputer。