CitrixBleed 2漏洞利用自6月中旬开始——如何检测与防御

CitrixBleed 2 — CVE-2025–5777 — 已被活跃利用一个月，攻击者通过该漏洞全球范围内劫持Netscaler会话并绕过多因素认证（MFA）。

我在6月24日就撰文讨论过此漏洞，敦促各组织尽快打补丁：

CitrixBleed 2: Electric Boogaloo — CVE-2025–5777

当时我指出了它与CitrixBleed的相似之处，并提到尽管Citrix声称未发现野外利用，但在CitrixBleed事件中他们也说过同样的话——结果很快就被证明是错误的。历史再次重演。

自那篇文章发布后，Citrix发布了一篇博客，其中包含一些"有趣"的措辞，例如：

CVE-2023–4966就是CitrixBleed。他们还写道：

当Citrix撰写这篇博客时，对他们的客户的攻击已经在进行中。虽然他们表示要联系获取IOC（入侵指标），但那是指CVE-2025–6543——他们没有提供任何技术细节来检测CVE-2025–5777的利用。

问题在哪里？影响完全相同。NSC_AAAC令牌在内存中可见：

CitrixBleed 2利用 via Horizon3.ai

结果是攻击者可以通过向doAuthentication.do端点发送大量请求来利用该漏洞，找到有效的cookie加入任何Netscaler会话。从那里，他们可以——例如——建立Citrix VDE桌面会话，或劫持活跃的Netscaler管理员会话。

即使没有NSC_AAAC cookie，暴露的RAM中也包含其他敏感信息。

这不仅可能，而且已经在发生。这与2023年10月的CitrixBleed情况相同，所以我们又回到了这里。

GreyNoise目前正在对其蜜罐网络进行回溯搜索，到目前为止发现的活动可以追溯到7月1日——这是在任何关于该漏洞的公开技术细节发布之前：

get on mastodon

他们目前正在进一步回溯他们的遥测数据——我预计他们会将这个日期往前推。事实上，GreyNoise的（相当优秀的）蜜罐遥测数据显示，尝试可以追溯到6月23日——3天后，Citrix声称没有利用证据。

与多个组织合作，我可以看到利用活动可以追溯到6月中旬。攻击者IP示例：

1
2
3
4
5
6
7


64.176.50.109
139.162.47.194
38.154.237.100
38.180.148.215
102.129.235.108
121.237.80.24
145.135.232.2

这个IP列表并非详尽无遗——随着攻击的持续进行，更多信息将在此发布：

https://viz.greynoise.io/query/tags:%22CitrixBleed%202%20CVE-2025-5777%20Attempt%22%20last_seen:90d

打补丁前如何检测利用活动

检测这是一个多阶段的方法：

（依赖于增强的Netscaler日志设置）如果在SIEM中有Netscaler Web访问日志，查找对包含"doAuthentication.do"的URI的过多请求——每次尝试会泄露126字节的数据，因此威胁行为者可能会在一天内发送数千个请求来寻找他们想要的内容。合法请求混杂其中，所以你要寻找数量上的异常值。SIEM搜索词示例：*POST*doAuthentication*

攻击路径的样子——是的，只指定’login’就能在"InitialValue"字段的右侧获取RAM：

creds to WatchTowr

（依赖于增强的Netscaler日志设置）在Netscaler Web访问日志中，查找头文件中包含"Content-Length: 5"的对doAuthentication.do的请求。这个长度是可选的，当然可以被修改——但6月份的活动有这个头，当与POST请求结合时，是一个非常好的利用指标。
（依赖于增强的Netscaler日志设置）在Netscaler日志中查找包含*LOGOFF*和user = "*#*"（即用户名中有#符号）的行。RAM被错误地放入字段——因此如果启用了足够高级别的日志记录，用户字段会被垃圾数据填充，你会在日志中看到二进制和ASCII字符串的混合。如果看到这种情况，启动事件响应。
从攻击者IP对doAuthentication和GetUserName的POST请求，重放NSC_AAAC cookie以验证其有效性。

CitrixBleed的许多步骤再次适用——例如，查找源IP和客户端IP不匹配的Netscaler会话——源IP将是攻击者IP，客户端IP将是原始会话IP。这是异常的，表明存在会话劫持风险——如果与其他要点结合，很可能是被入侵的会话。

会话劫持示例

技术阅读

CVE-2025-5777: CitrixBleed 2 Exploit Deep Dive by Horizon3.ai

How Much More Must We Bleed? - Citrix NetScaler Memory Disclosure (CitrixBleed 2 CVE-2025-5777)

供应商响应不够好

Horizon和Watchtowr的博客都指出了这一点，但我会更直接一些——Citrix在这里让客户失望了。通过完全不提供任何技术细节（还在原始CVE中错误地说它适用于Netscaler管理界面），客户在受到攻击时完全不知道如何检查之前的利用情况。这在CitrixBleed中也发生过。

实际上，利用在补丁发布后不久就开始了，所以不提供技术细节并没有减缓利用——它给了攻击者先机，让客户产生了错误的安全感，认为简单地应用补丁就解决了问题。如果他们得到了一些线索，比如查找大量的doAuthentication请求，他们就可以检查日志并查看WAF规则（例如，缺少正确头文件的doAuthentication请求——尽管Netscaler博客说这是可能的）。这没有发生，现在可能又有大量组织将启动事件响应，距离CitrixBleed还不到两年。

谁在利用这个？

6月中旬执行攻击的一个IP地址之前被CISA去年与RansomHub勒索软件组织关联——这个IP被观察到转储内存并重放会话cookie以验证它们。目前尚不清楚其他IP地址是否重叠（即同一威胁行为者）——但使用了Vultr和Linode等流行提供商。ReliaQuest的一份疑似利用报告表明，涉及勒索软件的电子犯罪团体经常使用的工具：

CVE-2025-5777: Citrix Bleed 2 Opens Old Wounds

全球打补丁进展如何？

我在这里跟踪打补丁情况：https://github.com/GossiTheDog/scanning/blob/main/CVE-2025-5777-CitrixBleed2-ElectricBoogaloo-patching.txt

近一个月后，截至周一，24%的组织仍未应用补丁。这包括一些世界上最大的公司（和NSA）。我会随时间更新视图。

即使你已经打了补丁，除非你打得非常早，否则你可能需要检查利用迹象。