漏洞概况
Citrix NetScaler产品中被标记为CVE-2025-6543的关键零日漏洞自2025年5月起就遭到攻击者利用,比官方补丁发布提前了数月。尽管Citrix最初将该漏洞轻描淡写为"导致意外控制流和拒绝服务的内存溢出漏洞",但后续证实其可实现未经认证的远程代码执行(RCE),已造成全球政府及法律服务机构的大规模入侵。
2025年6月下旬,Citrix发布了CVE-2025-6543的补丁。但此时攻击者已利用该漏洞活动数周,通过入侵NetScaler远程访问系统、部署网页木马维持持久访问权限,并窃取凭证信息。安全专家Kevin Beaumont指出,证据表明Citrix早已知晓漏洞严重性和持续利用情况,却未向客户充分披露威胁细节。
攻击溯源
荷兰国家网络安全中心(NCSC)在揭露攻击真相中发挥了关键作用。其2025年8月发布的调查报告确认,该漏洞作为零日漏洞被利用,攻击者精心掩盖痕迹增加了取证难度。报告明确指出:"荷兰境内多个关键机构已遭成功入侵",漏洞利用活动至少可追溯至2025年5月初。
技术机理
经分析,同一高级威胁组织还涉嫌利用另一个被称为CitrixBleed 2的零日漏洞(CVE-2025-5777)窃取用户会话,目前正在调查该组织是否与更新漏洞CVE-2025-7775的利用有关。
CVE-2025-6543漏洞允许攻击者通过向存在漏洞的NetScaler设备的/cgi/api/login接口提交恶意客户端证书来覆盖系统内存。通过发送数百次此类请求,攻击者可覆盖足够内存空间实现任意代码执行,进而利用窃取的LDAP服务账户凭证横向渗透至Active Directory环境。
应急建议
安全专家强烈建议所有使用互联网暴露Citrix NetScaler设备的组织立即采取行动。系统管理员应重点检查以下入侵迹象:
- 网络访问日志中出现短时间内大量发往
/cgi/api/login的POST请求 - NetScaler日志中出现1245184错误代码(表示无效客户端证书)
NCSC已在GitHub发布检测脚本,可帮助组织检查在线主机和内存转储文件中的入侵痕迹。若确认系统遭入侵,建议采取以下措施:
- 立即下线受影响的NetScaler设备
- 对系统进行镜像取证
- 更换LDAP服务账户凭证阻断横向移动
- 使用全新凭证部署已打补丁的NetScaler实例
美国网络安全和基础设施安全局(CISA)已将CVE-2025-6543列入已知被利用漏洞(KEV)目录,凸显了企业应用补丁和排查恶意活动的紧迫性。
扫一扫
161
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
