Citrix产品多个漏洞可能导致敏感数据泄露

MS-ISAC咨询编号：2025-060
发布日期：2025年6月27日

概述

在Citrix产品中发现多个漏洞，其中最严重的漏洞可能导致敏感数据泄露。Citrix ADC执行特定于应用程序的流量分析，以智能分配、优化和保护Web应用程序的第4层至第7层网络流量。成功利用其中最严重的漏洞可能导致内存越读，从而泄露潜在敏感信息，如经过身份验证的会话令牌。根据通过此技术检索的敏感信息，攻击者可能进一步访问设备或系统。

威胁情报

目前没有关于这些漏洞被利用的报告。

受影响系统

• NetScaler ADC和NetScaler Gateway 14.1（早于14.1-43.56版本）
• NetScaler ADC和NetScaler Gateway 13.1（早于13.1-58.32版本）
• NetScaler ADC 13.1-FIPS和NDcPP（早于13.1-37.235-FIPS和NDcPP版本）
• NetScaler ADC 12.1-FIPS（早于12.1-55.328-FIPS版本）

风险等级

政府机构：

• 大中型政府实体：中等
• 小型政府实体：中等

企业：

• 大中型企业实体：中等
• 小型企业实体：中等

家庭用户： 不适用

技术摘要

在Citrix产品中发现多个漏洞，其中最严重的漏洞可能导致敏感数据泄露。最严重漏洞的详细信息如下：

战术：初始访问（TA0001）
技术：利用面向公众的应用程序（T1190）

NetScaler ADC和NetScaler Gateway中存在越界读取漏洞，影响配置为网关（VPN虚拟服务器、ICA代理、CVPN、RDP代理）或AAA虚拟服务器的系统。该漏洞源于输入验证不足。成功利用允许远程、未经身份验证的威胁行为者在受影响接口上触发内存越读。（CVE-2025-5777）

其他较低严重性漏洞：

NetScaler ADC和NetScaler Gateway的NetScaler管理接口中存在不当访问控制漏洞，影响14.1版本（早于14.1-43.56）和13.1版本（早于13.1-58.32）。该漏洞源于对管理端点的访问限制执行不足。成功利用允许具有NSIP（NetScaler管理IP）、集群管理IP或本地GSLB（全局服务器负载平衡）站点IP访问权限的未经身份验证的威胁行为者与受限管理功能交互。（CVE-2025-5349）

成功利用其中最严重的漏洞可能导致内存越读，从而泄露潜在敏感信息，如经过身份验证的会话令牌。根据通过此技术检索的敏感信息，攻击者可能进一步访问设备或系统。

修复建议

我们建议采取以下措施：

1. 应用补丁更新

   • 在适当测试后立即将Citrix提供的稳定通道更新应用到易受攻击的系统（M1051：更新软件）

2. 漏洞管理流程

   • 保障措施7.1：建立和维护企业资产的文档化漏洞管理流程
   • 保障措施7.2：建立和维护基于风险的修复策略
   • 保障措施7.6：对外部暴露的企业资产执行自动化漏洞扫描
   • 保障措施7.7：基于修复流程每月或更频繁地修复检测到的漏洞

3. 渗透测试

   • 保障措施16.13：执行应用程序渗透测试
   • 保障措施18.1：建立和维护渗透测试程序
   • 保障措施18.2：基于程序要求执行定期外部渗透测试
   • 保障措施18.3：修复渗透测试发现的问题

4. 会话管理

   • Citrix建议在设备升级后运行以下命令终止所有活动的ICA和PCoIP会话：

     1 2	kill icaconnection -all kill pcoipConnection -all

5. 权限管理

   • 对所有系统和服务应用最小权限原则（M1026：特权账户管理）
   • 保障措施4.7：管理企业资产和软件上的默认账户
   • 保障措施5.4：将管理员权限限制为专用管理员账户

6. 内容限制

   • 限制某些网站的使用，阻止下载/附件，阻止JavaScript，限制浏览器扩展等（M1021：限制基于Web的内容）
   • 保障措施2.3：处理未经授权的软件
   • 保障措施2.7：允许列表授权脚本
   • 保障措施9.3：维护和执行基于网络的URL过滤器
   • 保障措施9.6：阻止不必要的文件类型

7. 漏洞利用防护

   • 使用功能检测和阻止可能导致或指示软件漏洞利用发生的条件（M1050：漏洞利用保护）
   • 保障措施10.5：启用反利用功能

8. 执行预防

   • 通过应用程序控制和/或脚本阻止来阻止在系统上执行代码（M1038：执行预防）
   • 保障措施2.5：允许列表授权软件
   • 保障措施2.6：允许列表授权库
   • 保障措施2.7：允许列表授权脚本

9. 端点行为预防

   • 使用功能防止在端点系统上发生可疑行为模式（M1040：端点行为预防）
   • 保障措施13.2：部署基于主机的入侵检测解决方案
   • 保障措施13.7：部署基于主机的入侵防御解决方案

参考链接

CVE：

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-5349
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-5777

Citrix：

• https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420