Citrix Bleed 2 | 爆发警报 | FortiGuard实验室

概述

关键缓冲区越读漏洞 FortiGuard实验室观察到自2025年7月28日起，针对"Citrix Bleed 2"漏洞的攻击尝试急剧增加。遥测数据显示全球IPS传感器的检测量已激增至超过6,000次。大部分观察到的攻击集中在美国、澳大利亚、德国和英国，攻击者主要针对技术、银行、医疗保健和教育等高价值行业。[了解更多»]

常见漏洞与暴露

• CVE-2025-5777
• CVE-2025-5349
• CVE-2025-6543

分析

背景 该漏洞以2023年10月报告的臭名昭著的Citrix Bleed攻击（CVE-2023-4966）命名，该漏洞曾被多个威胁行为者（包括勒索软件组织）广泛利用。原始漏洞也影响Citrix NetScaler ADC和网关设备。

CVE-2025-5777是一个关键的缓冲区越读漏洞，被称为"Citrix Bleed 2"，影响Citrix NetScaler ADC和NetScaler Gateway。该漏洞源于输入验证不足，使未经身份验证的远程攻击者能够检索服务器内存的部分内容。利用此问题可能允许攻击者直接从内存访问敏感数据，可能暴露凭据、会话令牌或其他机密信息。

CVE-2025-6543是一个内存溢出漏洞，当NetScaler ADC和NetScaler Gateway配置为网关（VPN虚拟服务器、ICA代理、CVPN、RDP代理）或AAA虚拟服务器时，会导致意外控制流和拒绝服务。Citrix报告已观察到针对未缓解设备的CVE-2025-6543利用。

CVE-2025-5349是NetScaler管理接口上的不当访问控制。

威胁雷达

总体评分：4.0

• CVSS评分：9.8
• FortiRecon评分：96/100
• 已知被利用：是
• 利用预测评分：46.7%
• FortiGuard遥测：12358

[点击此处分析实时威胁地图]

最新动态

使用Citrix NetScaler ADC和NetScaler Gateway设备的组织强烈建议：查看官方Citrix安全公告，尽快应用所有相关补丁和更新，并监控任何可疑活动。

2025年8月11日：Shadowserver基金会报告仍有3,312台Citrix NetScaler设备易受持续CVE-2025-5777攻击。 https://bsky.app/profile/shadowserver.bsky.social/post/3lw6z7psrbs2u

2025年7月10日：CVE-2025-5777漏洞被添加到CISA的已知被利用目录，基于野外利用。

2025年6月26日：FortiGuard威胁信号报告发布。 https://www.fortiguard.com/threat-signal-report/6134/citrix-netscaler-adc-and-netscaler-gateway-vulnerabilities

2025年6月17日：Citrix发布NetScaler ADC和NetScaler Gateway安全公告。 https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420

FortiGuard网络安全框架

通过利用各种FortiGuard服务来缓解安全威胁和漏洞。

防护

• IPS - 检测并阻止利用该漏洞的攻击尝试
• Web应用安全 - 检测并阻止利用该漏洞的攻击尝试

检测

• IOC - 危害指标
• 爆发检测
• 威胁狩猎

响应

• 自动响应
• 辅助响应服务

恢复

• NOC/SOC培训
• 最终用户培训

识别

• 攻击面监控（内部和外部）
• 攻击面强化

威胁情报

危害指标

IOC指标列表

显示14个条目中的1到5个

IOC威胁活动

• 过去24小时：5
• 趋势：150%

攻击统计

前五大目标国家（过去7天网络攻击量最高的国家）

• 美国：334,841
• 新西兰：176,618
• 德国：108,819
• 斯洛伐克：76,872

前五大目标行业（过去7天网络攻击量最高的行业）

• 零售/酒店：156,483
• 技术：99,800
• 教育：87,537
• 银行/金融/保险：46,676

入侵防护

Citrix NetScaler ADC网关startwebview越界读取

• 过去24小时：1267
• 趋势：-34%

参考

支持与此爆发和相关供应商关系的信息来源。

• Citrix公告 [了解更多»]
• 关于FortiGuard爆发警报 [了解更多»]