概述
FortiGuard Labs自2025年7月28日起观察到针对"Citrix Bleed 2"漏洞的攻击尝试急剧增加。遥测数据显示全球IPS传感器检测次数已激增至超过6,000次。大部分观测到的攻击集中在美国、澳大利亚、德国和英国,攻击者主要针对技术、银行、医疗保健和教育等高价值行业。[了解更多 »]
通用漏洞披露
- CVE-2025-5777
- CVE-2025-5349
- CVE-2025-6543
背景
该漏洞以2023年10月报告的臭名昭著的Citrix Bleed攻击(CVE-2023-4966)命名,该漏洞曾被多个威胁行为者(包括勒索软件组织)广泛利用。原始漏洞也影响了Citrix NetScaler ADC和网关设备。
CVE-2025-5777是一个严重的缓冲区过度读取漏洞,被称为"Citrix Bleed 2",影响Citrix NetScaler ADC和NetScaler Gateway。该漏洞源于输入验证不足,使未经身份验证的远程攻击者能够检索服务器内存的部分内容。利用此问题可能允许攻击者直接从内存访问敏感数据,可能暴露凭据、会话令牌或其他机密信息。
CVE-2025-6543是一个内存溢出漏洞,当NetScaler ADC和NetScaler Gateway配置为网关(VPN虚拟服务器、ICA代理、CVPN、RDP代理)或AAA虚拟服务器时,会导致意外控制流和拒绝服务。Citrix报告称已观察到针对未缓解设备的CVE-2025-6543利用。
CVE-2025-5349是NetScaler管理接口上的不当访问控制漏洞。
威胁雷达
- 总体评分:4.0
- CVSS评分:9.8
- FortiRecon评分:92/100
- 已知被利用:是
- 利用预测评分:55.19%
- FortiGuard遥测:11344
[点击此处分析实时威胁地图]
最新动态
使用Citrix NetScaler ADC和NetScaler Gateway设备的组织强烈建议:查看官方Citrix安全公告,尽快应用所有相关补丁和更新,并监控任何可疑活动。
2025年8月11日:Shadowserver Foundation报告称,3,312台Citrix NetScaler设备仍然容易受到持续的CVE-2025-5777攻击。
2025年7月10日:CVE-2025-5777漏洞被添加到CISA的已知被利用目录,基于野外利用。
2025年6月26日:FortiGuard威胁信号报告发布。
2025年6月17日:Citrix发布NetScaler ADC和NetScaler Gateway安全公告。
FortiGuard网络安全框架
通过利用FortiGuard服务范围来缓解安全威胁和漏洞。
防护
- IPS - 检测并阻止利用该漏洞的攻击尝试
- Web应用安全 - 检测并阻止利用该漏洞的攻击尝试
检测
- IOC - 危害指标
- 爆发检测 - 威胁检测
- 威胁狩猎 - 主动威胁搜寻
响应
- 自动化响应 - 自动响应服务
- 辅助响应服务 - 专家协助分析、遏制和响应活动
恢复
- NOC/SOC培训 - 培训网络和安全专业人员
- 最终用户培训 - 提高员工安全意识
识别
- 攻击面监控 - 内部和外部监控
- 攻击面强化 - 安全检查和建议
威胁情报
危害指标(IOC)列表
| 指标 | 类型 | 状态 |
|---|---|---|
| 101.99.91.107 | IP | 活跃 |
| 102.129.235.108 | IP | 活跃 |
| 147.45.112.219 | IP | 活跃 |
| 194.165.16.71 | IP | 活跃 |
| 38.154.237.100 | IP | 活跃 |
威胁活动统计
- 过去24小时:5次
- 趋势:监控中
入侵防护
- Citrix NetScaler ADC Gateway startwebview越界读取
- 过去24小时:836次检测
- 趋势:-50%
参考资料
- Citrix安全公告[了解更多 »]
- 关于FortiGuard爆发警报[了解更多 »]