漏洞背景

安全研究人员发布了针对Citrix NetScaler设备中一个关键漏洞的技术分析和概念验证（PoC）利用代码，该漏洞于上月修复，被怀疑已在野外有限利用，但Citrix未官方确认。企业被敦促部署补丁并使用发布的入侵指标（IoCs）检查设备是否遭受入侵。

该漏洞被追踪为CVE-2025-5777，在安全社区中被称为Citrix Bleed 2，于6月17日与另一个高风险漏洞CVE-2025-5349一起修复。尽管初始公告未提及野外利用且自发布以来未更新，安全公司ReliaQuest的研究人员于6月26日报告称，他们以中等置信度认为攻击者已在利用该漏洞绕过认证和多因素认证。

漏洞混淆

与此同时，第三个Citrix漏洞于6月25日修复，被追踪为CVE-2025-6543，根据管理NetScaler的Citrix Cloud Software Group，有迹象表明该漏洞存在主动利用。这导致安全社区混淆攻击者针对的是CVE-2025-5777还是CVE-2025-6543，或两者皆是。CVE-2025-6543的IoCs可向Citrix Cloud Software Group申请获取，但直到本周为止，CVE-2025-5777未有类似信息，因为Citrix未发现任何主动利用证据。

安全公司watchTowr和Horizon3.ai的研究人员独立逆向工程了补丁，并发布了他们认为针对CVE-2025-5777的分析和IoCs，旨在帮助组织在混淆中开发检测方法。

watchTowr研究人员在其深度报告中写道：“我们一直在幕后积极分享信息和复现工具给watchTowr平台用户群，他们依赖我们的技术快速确定暴露情况，并与多个行业机构合作以参与全球响应。我们被告知，以IoCs、利用工件等形式的信息共享…‘ minimal’，这使得用户在决定是否需要内部警报时处于困境。”

Horizon3研究人员在另一份报告中表示：“虽然我们为其中一个问题开发了可工作的利用代码…但由于公告中稀疏的技术细节，很难区分是哪个漏洞。也就是说，基于问题描述、与Citrix Bleed的相似性以及我们可用于测试的Citrix NetScaler版本，我们认为我们为CVE-2025-5777开发了可工作的利用代码。也有可能我们偶然发现了其他相关问题，在这些版本中无意中修复了。”

与原始Citrix Bleed的相似性

CVE-2025-5777被称为Citrix Bleed 2，因为它与2023年10月修复的一个零日信息泄露漏洞（CVE-2023-4966）相似，后者因使攻击者能够从内存泄漏会话令牌而获得Citrix Bleed的绰号，允许会话接管并绕过多因素认证。

类似地，CVE-2025-5777可通过向名为doAuthentication.do的特定Web应用程序端点发送精心构造的HTTP请求导致内存过度读取条件。这会泄露内部内存，每次127字节，可能包含认证令牌和其他敏感信息。

在测试中，watchTowr研究人员未在泄露内容中找到任何认证cookie、会话ID或密码，但指出在生产设备上，随着更多用户连接，情况可能不同。同时，Horizon3研究人员通过在测试设备上运行利用代码更长时间，确实获得了合法用户会话令牌。

Horizon3研究人员写道：“这不仅限于普通用户可访问的端点。管理员用于管理NetScaler网关端点的配置实用程序也利用此内存空间，意味着这些令牌也易被盗取。”

该漏洞影响NetScaler ADC（原Citrix ADC）和NetScaler Gateway（原Citrix Gateway），当配置为网关（VPN虚拟服务器、ICA代理、CVPN、RDP代理）或认证授权和审计（AAA）服务器时。除了应用补丁外，没有手动解决方法或缓解措施。尚未更新的组织应部署其发布分支的最新可用构建，这些构建将包括针对已确认主动利用的CVE-2025-6543漏洞的修复。

检测入侵

在IoCs方面，Horizon3研究人员建议搜索ns.log中的不可打印字符日志条目，这可能是异常的良好指标。

Horizon3研究人员总结道：“Citrix公告建议终止现有ICA和PCoIP会话，这使我们相信与这些功能相关的端点正被针对。这些日志的条目可能同样包含泄露内存的内容，可能包括会话令牌。”

还建议管理员审计设备上的所有活动会话，可通过界面“NetScaler Gateway -> Active User Sessions -> Select applicable context -> Continue”或命令行使用show sessions或show session命令完成。

如果设备被入侵，攻击者可能添加后门账户、转储和修改设备配置以添加持久性机制，并部署远程访问工具——所有操作在原始Citrix Bleed利用中也曾采取。

此类修改应被日志捕获，但研究人员警告，如果管理员会话或凭据被泄露，攻击者将有权修改日志配置。

Horizon3研究人员表示：“如果存在配置备份，通过show ns runningConfig -withDefaults显示当前运行配置，并使用某种差异工具（如diff -u backup.config current.config）与已知良好备份比较，是一个良好的起点。”

同时，watchTowr研究人员发布了概念验证HTTP请求和响应，可用于构建扫描脚本以确定NetScaler设备对该漏洞的可利用性。