CitrixBleed 2漏洞危机全面解析:全球组织已遭大规模入侵

本文深入分析CVE-2025-5777 CitrixBleed 2漏洞的最新威胁态势,涵盖中国和俄罗斯攻击组织的活动特征、漏洞利用技术细节、检测规避方法,以及Citrix官方响应存在的问题,帮助组织了解当前面临的安全风险。

CitrixBleed 2 形势更新——所有人都已被入侵

更新于CVE-2025-5777的最新情况,继我之前的两篇博客之后。

简而言之的版本基本上是:

图片

我猜的"好消息"是,大多数组织都缺乏日志证据。所以他们只能希望没有发生太糟糕的事情。原因是利用活动在默认的Netscaler日志配置下不会留下太多痕迹,组织将难以了解发生了什么。大多数可能只能盯着IP地址IOC。

以下是不同活动集群的细分。注意,我不从事威胁情报工作,这些只是我的公开思考,因为显然实际的网络安全行业基本上在沉睡。

中国攻击集群持续活跃

有一个活动集群,我强烈怀疑源自中国,基于访问时间和访问方法,他们一直针对这些行业的SSL证书: 科技、法律、教育、法律服务、金融服务、政府、联合国和电信

访问开始于2025年6月20日,从6月21日起访问量逐步增加直至本文撰写时。我认为我看到的可能是一个威胁行为者组织——可能还有更多。他们在攻击前仔细选择受害者,分析Netscaler以确保是真实设备——例如,他们没有落入我的任何蜜罐。

在这样做的源IP中,我看到超过一百个持续受害目标,其中一些案例中到他们Netscaler的流量至今仍在持续。

我设法找到一个愿意匿名交谈的受害组织——他们遇到的威胁行为者专注于从用户Citrix会话中收集数据,并通过安装合法的MSP管理工具维持持久性。他们在安全堆栈中没有触发任何警报。

我在此发布了一些IOC: 有些在我之前的博客文章中也可看到(64. IP很嘈杂,因为它在攻击前进行了全球Netscaler固件指纹识别):

1
2
3
4
5
6

64.176.50.109
139.162.47.194
38.180.148.215
102.129.235.108
121.237.80.24
145.135.232.2

由于这种活动似乎是隐蔽的,我强烈怀疑大多数组织不会意识到自己是受害者。

俄罗斯勒索软件组织加入战局

有一个勒索软件组织自6月以来就拥有该漏洞,并一直将其用于初始访问。我知道一起事件,但受害组织要求我不要谈论它,我计划尊重这一点,因为他们已经有足够多要处理的事情了(尽管他们是医疗保健行业)。

我怀疑可能还有更多受害者尚未被发现。但在大多数情况下,基于暗网 chatter,大多数勒索软件组织似乎还不理解如何利用该漏洞,因此公开敲响修补的警钟很可能通过简单地领先于人们学习如何执行相当简单的利用链,大幅降低了操作影响风险。

电子犯罪采取撒网式攻击

Imperva在周末发布了一篇博客,在他们将检测覆盖添加到他们的WAF产品后,表示他们到目前为止已经看到1200万次攻击尝试,近40%针对金融服务:

图片

博客: CVE-2025-5777使Citrix NetScaler面临危险的内存泄漏攻击 | Imperva

在这种情况下,活动显然是撒网式祈祷——即威胁行为者只是在整个互联网上撒网,试图进入任何东西。规模类似于log4shell最初的活跃度。

GreyNoise的蜜罐上也看到了类似情况:

图片

我买不起greynoise订阅,但我还是用了他们的图表

Citrix行动缺失

我不知道这里发生了什么。Citrix上周似乎几乎在这个漏洞问题上消失了。

他们发布了一篇关于CVE-2025-5777(此漏洞)和另一个漏洞的博客,其中提出了这样的说法:

图片

但是,嗯,这对Akamai、Imperva等可能是新闻:

图片

如我上一篇博客所述,你绝对可以用Web应用程序防火墙检测到这一点。唯一尚未检测到的主要供应商是……Citrix,他们为Netscaler销售WAF解决方案附加产品,但由于某种原因没有覆盖自己的漏洞。

上周,在我的博客文章之后,Citrix拒绝就媒体关于利用的询问发表评论。

在CISA将该漏洞添加到已知被利用漏洞后,他们刚刚更新了之前的博客文章,承认了利用,这实际上是被迫的:

图片

我认为那篇博客文章中继续存在有问题的说法——例如,他们暗示NIST对漏洞的描述是错误的,最准确的漏洞描述可以在他们的网站上找到:

图片

他们没有提到的是——NIST网站的描述是由secure@citrix.com提交的。NIST没有写不准确的描述——Citrix写了。

图片

额外问题仍然存在——例如,Citrix关于如何修补漏洞的说明说运行这些命令:

图片

然而,这并不会清除漏洞泄露的所有会话cookie。

CitrixBleed的说明确实涵盖了这些:

图片

看来Citrix搞砸了,没有告诉人们清除CitrixBleed 2的所有会话类型..这直接导致应用了补丁的客户仍然面临会话劫持的风险。

我猜我们会在未来几周看到事情如何发展,但这感觉像是一场将客户放在最后位的混乱披露。

先前阅读: CitrixBleed 2利用始于6月中旬——如何发现它 CitrixBleed 2: Electric Boogaloo — CVE-2025-5777

原始扫描数据——查明你的组织是否打了补丁: https://raw.githubusercontent.com/GossiTheDog/scanning/refs/heads/main/CVE-2025-5777-CitrixBleed2-ElectricBoogaloo-patching.txt

截至2025年7月15日,近4k个组织仍然易受攻击

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次