事件概述

荷兰国家网络安全中心（NCSC）于2025年8月13日更新了关于Citrix漏洞的通报。本次更新包含两款新增的检测脚本，这些脚本配备了新的入侵指标（IOC），并提供了额外背景信息，强调这是一次针对多个荷兰组织的精密攻击。NCSC还分享了针对此次数字攻击的补充建议，旨在鼓励和支持组织进一步提高其数字韧性，并关注数字安全的正确要素。

自NCSC于7月16日发现Citrix漏洞被滥用以来，已对此网络攻击进行了大量调查。目前仍不确定哪些组织已受影响、攻击者是否仍在活动以及这些攻击的影响程度。调查仍在继续，但目前已得出结论：可能无法回答所有这些问题。

要点摘要

• NCSC确认荷兰多个关键组织通过Citrix NetScaler中特征为CVE-2025-6543的漏洞被成功攻击。
• NCSC将这些攻击定性为一个或多个采用高级方法的威胁行为者所为。该漏洞作为零日漏洞被利用，并且攻击者主动擦除痕迹以隐藏对受影响组织的入侵。调查仍在进行，但目前已得出结论：可能无法回答有关此次数字攻击的所有问题。
• Citrix已提供更新以修复该漏洞。但仅更新系统不足以消除滥用风险。
• NCSC建议组织通过应用深度防御控制措施来提高韧性。这有助于增强对此特定攻击以及通过新漏洞进行的类似攻击的抵御能力。
• 如果发现此特定攻击的入侵指标（IOC），则需要进行进一步调查以确认是否确实发生了入侵。如有这种情况，请联系 cert@ncsc.nl 以获得进一步支持。

在NCSC的GitHub页面（https://github.com/NCSC-NL/citrix-2025）上发布了两款新的检测脚本，由NCSC开发，用于对Citrix NetScaler ADC和NetScaler Gateway设备进行技术调查。这些检测脚本使组织能够自行调查其系统可能遭受的入侵。

时间线

五月

• 五月初：根据对受影响组织数据的取证分析，NCSC有迹象表明Citrix NetScaler ADC中的漏洞在五月初首次被滥用。

六月

• 6月18日：NCSC发布关于Citrix NetScaler ADC中漏洞CVE-2025-5349的安全建议。
• 6月25日：Citrix发布关于CVE-2025-6543的安全建议。NCSC也发布了关于Citrix NetScaler ADC和NetScaler Gateway中漏洞CVE-2025-6543的安全建议。

七月

• 7月16日：NCSC发现荷兰组织可能存在滥用迹象。NCSC已通知荷兰的相关组织。
• 7月18日：多个组织报告发现入侵痕迹。
• 7月21日：NCSC通知其目标群体发布了一个可用于检查IOC存在的脚本。该脚本已发布在NCSC的GitHub上。此后NCSC多次更新了该脚本。
• 7月22日至8月10日：NCSC与受影响组织和网络安全合作伙伴持续进行调查，以了解滥用范围并恢复系统。NCSC多次向其目标群体提供了补充信息。

八月

• 8月11日后：NCSC与受影响组织、事件响应方及安全链合作伙伴对特征为CVE-2025-6543的漏洞滥用进行补充调查。NCSC正在开发新版本的脚本，以使组织能够检查其系统是否存在IOC。

含入侵指标的检测脚本

在NCSC的GitHub页面（https://github.com/NCSC-NL/citrix-2025）上发布了两款新的检测脚本，由NCSC开发，用于对Citrix NetScaler ADC和NetScaler Gateway设备进行技术调查。这些检测脚本使组织能够自行调查其系统可能遭受的入侵。

这些检测脚本配备了根据NCSC近期取证研究确定的新的入侵指标，这些指标此前未曾通报。因此，呼吁组织在其Citrix NetScaler设备上运行新的检测脚本。

如果未（及时）通过检测脚本进行取证研究，则系统入侵可能未被察觉，恶意行为者将保持访问权限。

一款检测脚本专注于核心转储（coredumps），另一款则专注于完整的NetScaler镜像。如何运行这些脚本可在GitHub上的自述文件中找到。

如果您因发现一个或多个新增的IOC而怀疑您的Citrix Netscaler ADC和Netscaler Gateway系统已遭入侵，请与我们联系。

情况说明

Citrix NetScaler：是什么？

Citrix NetScaler确保网站和应用程序保持快速可靠的访问。NetScaler Gateway用于促进远程办公。员工可以通过NetScaler Gateway远程访问公司或组织的企业环境和内网。

Citrix NetScaler ADC和Citrix NetScaler Gateway是专注于数字安全及应用程序和企业环境访问的网络解决方案。NetScaler ADC（应用程序交付控制器）充当负载均衡器，确保网络流量在多台服务器之间的分配、内部部署和云应用的安全性与可用性。

漏洞

在荷兰和国外的多个组织中，发现了易受特征为 CVE-2025-5349、CVE-2025-5777 和 CVE-2025-6543 的漏洞影响的Citrix设备。不过，这并不意味着这些漏洞在所有易受攻击的Citrix系统上都已被滥用。NCSC已针对这些漏洞制定了安全建议。

滥用风险

NCSC目前正在调查Citrix设备中这三个漏洞可能被滥用的情况。调查中在Citrix设备上发现了恶意的Webshell。Webshell是一段恶意代码，使攻击者能够远程访问系统。攻击者可通过滥用漏洞来放置Webshell。NCSC已与发现可能被滥用的各方联系。但这并不免除组织自行进行进一步调查的重要性。

修补漏洞并不意味着问题已解决。恶意行为者可能保留先前获得的系统访问权限，即使在漏洞被打补丁之后。因此，由于恶意行为者可能返回先前被入侵的系统，持续滥用的风险仍然存在。

定性分析

NCSC确认荷兰多个关键组织被成功攻击。

零日漏洞

进一步调查表明，攻击者至少从五月初就开始滥用该漏洞。6月25日，Citrix发布了关于漏洞CVE-2025-6543的信息，并提供了修补程序来修复它。我们因此称之为零日攻击，因为该漏洞在公开披露之前已被滥用。

主动擦除痕迹

对受影响组织的取证调查显示，攻击者主动擦除了痕迹。这使得取证调查具有挑战性。如下图所示，在调查此漏洞的新指标时，确定新的感染情况非常重要：

图片来源：©NCSC

目前，关于攻击范围、性质和影响的各种调查正在进行中。与受影响组织、事件响应方及安全链合作伙伴一起，我们仍在不断发现新的指标，借此帮助荷兰其他组织进行自己的调查。由于组织积极与NCSC分享，调查变得越来越好，发现相互加强。我们共同对这些攻击的影响有了越来越清晰的认识，以便能够做出适当的回应。

行动视角

提高数字韧性

数字韧性必须是首要任务。数字攻击的后果远不止技术影响，还会影响物理生活环境。关键决策者，如管理者和流程负责人，必须全面参与数字韧性建设。一个问题是负责执行的人员是否拥有将数字韧性提升到适当水平的授权和能力。技术措施只是故事的一部分：良好设置的治理、适当的风险管理和健康的安全文化同样是先决条件。NCSC的基本原则为此奠定了基础。

了解您要保护的内容

风险评估对于有效且高效地投资数字韧性至关重要。确保您已明确需要保护的资产。确定这些资产的优先级，并采取适当措施加以保护。考虑技术导向的措施——如补丁管理、改进漏洞管理、应用网络分段和强化边缘设备——但也包括流程性和以人为本的控制措施。在此过程中，不要将数字韧性视为一次性任务，而应将其视为需要整个组织参与的循环过程。

确保分层防御防线

此案例强调了行为者利用先进方法滥用荷兰境内数字系统。这与AIVD 2024年度报告和NCTV的荷兰网络安全态势2024年报告一致，两者都强调对荷兰的高级攻击正在增加。

保护最重要的系统和流程。例如，可以通过修补关键系统（也称为待保护利益，TBB）中的漏洞来实现。以优先顺序进行，从而最好（且最快）地保护最重要的待保护利益。

因此，NCSC强调必须应用深度防御策略，建立多层防御以提高韧性。这样，即使攻击者成功绕过某一措施，您的关键待保护利益也不会立即受到损害。

做好准备

确保不仅保护您的利益，还要准备好检测数字攻击并能够对此做出响应。为了有效响应，需要具备取证就绪能力。对于此特定攻击，该文件中提出的措施（例如行为者主动擦除痕迹）同样有帮助。拥有日志记录使您能够调查您的组织是否受到攻击以及如何受到攻击。还要准备在可能遭受入侵后能够及时恢复。

持续关注NCSC的通讯

NCSC正在积极调查Citrix NetScaler ADC和NetScaler Gateway中的漏洞。想了解更多关于NCSC如何在网络事件中为您提供支持的信息吗？您可以在此页面找到关于NCSC援助和进行报告的更多信息。

如果发现此处提及漏洞滥用的入侵指标（IOC），则需要进行后续调查以确认是否确实发生了入侵。如果您在网络中发现一个或多个IOC，请在这种情况下联系 cert@ncsc.nl 以获得进一步支持。

技术行动视角

补丁和更新

更新Citrix NetScaler ADC和NetScaler Gateway设备。安装最新的安全更新，并在检查正确的版本号时格外注意。

已知最高版本号是：

• ADC & Gateway 14.1: 14.1-47.46
• ADC & Gateway 13.1: 13.1-59.19
• ADC 13.1-FIPS: 13.1-37.236
• ADC 13.1-NDcPP: 13.1-37.236
• ADC 12.1-FIPS: 12.1-55.328 (仅针对 CVE-2025-6543)

安装更新后，建议终止持久和活跃的会话。这可以通过以下命令实现：

1
2
3
4
5

kill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessions

检测滥用

Citrix NetScaler系统文件夹中具有异常.php扩展名的文件可能是滥用的迹象。异常PHP文件的特征可能包括：

• 显著的创建日期；
• 与具有其他文件扩展名的文件重复的名称；
• 文件夹中没有或很少有php文件；

NCSC在其GitHub页面上提供了一个脚本，用于检查NetScaler ADC和NetScaler Gateway系统是否因CVE-2025-6543而可能遭受入侵。请关注GitHub页面以获取脚本的更新。

检查NetScaler上新创建的账户，特别是具有提升权限的账户。

如果发现可能滥用迹象请响应

如果发现可能滥用迹象，请与NCSC联系。

更多信息

• https://advisories.ncsc.nl/advisory?id=NCSC-2025-0196 (CVE-2025-5349 & CVE-2025-5777)
• https://advisories.ncsc.nl/advisory?id=NCSC-2025-0203 (CVE-2025-6543)
• https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420
• https://www.ncsc.nl/documenten/factsheets/2024/juni/10/kennisproduct-omgaan-met-edge-devices
• https://www.ncsc.nl/wat-doet-het-ncsc-voor-jou/incident-respons