荷蘭國家資安中心(NCSC)發出警告,指出
Citrix NetScaler 的重大漏洞 CVE-2025-6543 已被駭客利用,成功入侵該國多個關鍵組織。此漏洞屬於記憶體溢位問題,可導致受影響設備出現非預期的控制流程或拒絕服務狀態。
Citrix 的資安公告指出,當 NetScaler ADC 和 NetScaler Gateway 被配置為閘道(包括 VPN 虛擬伺服器、ICA 代理、CVPN、RDP 代理)或 AAA 虛擬伺服器時,此記憶體溢位漏洞會導致非預期的控制流程和拒絕服務攻擊。
Citrix 於 2025 年 6 月 25 日發布此漏洞公告,警告下列版本易受持續攻擊:
- NetScaler 14.1 版:低於 14.1-47.46 的系統
- NetScaler 13.1 版:低於 13.1-59.19 的系統
- NetScaler 13.1-FIPS 及 13.1-NDcPP 版:低於 13.1-37.236 的系統
- NetScaler 12.1 及 13.0 版:已停止支援,無修補程式提供,建議升級至較新版本
雖然該漏洞最初被認為僅被用於分散式阻斷服務(DDoS)攻擊,但荷蘭國家資安中心的警告現在指出,攻擊者已利用它實現遠端程式碼執行(RCE)。
荷蘭國家資安中心發布 CVE-2025-6543 警告,證實駭客已利用此漏洞入侵該國多個單位,並主動清除攻擊痕跡以銷毀入侵證據。通報內容指出,荷蘭境內多個關鍵組織因 Citrix NetScaler 的 CVE-2025-6543 漏洞遭成功攻擊,該中心評估攻擊來源為一個或多個具進階技術的駭客。此漏洞被作為零時差漏洞利用,駭客刻意清除入侵痕跡以隱藏其攻擊行為。
早於公告兩個月的零時差漏洞攻擊
根據荷蘭國家資安中心表示,這些攻擊至少從今年 5 月初就已開始,比 Citrix 發布安全公告並提供修補程式的時間早了近兩個月。這意味著該漏洞作為零時差漏洞被長時間惡意利用。
雖然該機構未具體指出受影響的組織名稱,但荷蘭公共檢察署(Openbaar Ministerie,OM)於 7 月 18 日披露他們受到入侵,並表示此發現是在收到荷蘭國家資安中心的警報後才確認的。該機關因此遭受嚴重的營運中斷,目前正逐步恢復上線,其電子郵件伺服器也僅在上週才重新啟用。
為降低 CVE-2025-6543 漏洞風險,組織應立即更新至下列版本:NetScaler ADC 及 NetScaler Gateway 14.1 版本 14.1-47.46 以上、13.1 版本 13.1-59.19 以上,以及 ADC 13.1-FIPS 和 13.1-NDcPP 版本 13.1-37.236 以上。
安裝更新後,必須透過以下指令終止所有作用中的連線階段:
- kill icaconnection -all
- kill pcoipConnection -all
- kill aaa session -all
- kill rdp connection -all
- clear lb persistentSessions
相同的緩解措施也適用於先前曾遭主動利用的
「Citrix Bleed 2」漏洞(CVE-2025-5777)。目前尚未確認該漏洞是否也被用於此次攻擊,或這兩個漏洞是否共用相同的更新修補流程。
荷蘭國家資安中心建議系統管理員檢查下列入侵跡象:
檔案建立日期異常、
具相同檔名但不同副檔名的重複檔案,以及
資料夾中 PHP 檔案的不尋常缺失。
該中心已在 GitHub 上發布檢測工具,能掃描設備中可疑的 PHP 和 XHTML 檔案,並識別其他入侵指標(IOCs)。
本文轉載自 BleepingComputer。