CitrixBleed 2: Electric Boogaloo — CVE-2025–5777

还记得CitrixBleed吗？那个通过简单HTTP请求就能转储内存、泄露会话令牌的漏洞（CVE-2023–4966）？就像坎耶·韦斯特两年后重返推特一样，它又回来了——这次是CVE-2025–5777。

你可能错过了它，因为2025年6月17日最初的CVE提及的是“Netscaler管理接口”（本不应暴露在互联网上）。然而，昨晚CVE更新了描述，删除了管理接口的提法：

该漏洞允许攻击者在Netscaler配置为网关或AAA虚拟服务器时读取内存（想象通过Citrix、RDP等进行远程访问的场景）。这在大型组织中极为常见。

Shodan搜索示例：http.favicon.hash:-1292923998,-1166125415

Shodan的强大力量！

内存中可能包含敏感信息。会话令牌可被重放以窃取Citrix会话，绕过多因素认证（MFA）。这正是CitrixBleed的问题所在。

该漏洞可远程利用且无需认证。

CVSS详情

Citrix还表示：

此外，我们建议在高可用性对或集群中的所有NetScaler设备升级到修复版本后，运行以下命令终止所有活动的ICA和PCoIP会话：

1 2	kill icaconnection -all kill pcoipConnection -all

请确保复制粘贴这些命令时格式保持完整。

在CitrixBleed事件中，他们也建议在打补丁后终止活动会话。

你应该做什么

冷静识别暴露在互联网上的Citrix Netscaler设备，应用补丁并终止会话——理想情况下尽快完成。

使用Shodan，你可以运行类似搜索：

• org:YourOrg http.favicon.hash:-1292923998,-1166125415
• 或 ssl:YourOrg html:Citrix

是否已被野外利用？

Citrix表示尚未发现。然而，对于CitrixBleed，他们当时也这么说。

由于目前没有检测指南，我建议组织进行修补，除非他们想在安全事件后成为野外检测的样本。

谁发现了这个漏洞？

Citrix将功劳归于Positive Technologies和ITA MOD CERT (CERTDIFESA)发现了两个不同的CVE——尚不清楚谁具体发现了CVE-2025–5777。

更新

如果你实在无聊，可以在Mastodon上关注我获取更新，我上周就说过这事要来了： https://cyberplace.social/invite/BeKU6RCG

网络安全新闻 漏洞管理