CISA 已就影响 Citrix NetScaler 系统的严重零日漏洞(指定为 CVE-2025-7775)发出紧急警告。
该内存溢出漏洞支持远程代码执行 (RCE),并已被恶意网络行为者积极利用,促使立即于 2025 年 8 月 26 日被纳入 CISA 的已知利用漏洞 (KEV) 目录。
Key Takeaways 1. Citrix NetScaler zero-day vulnerability actively exploited, added to CISA KEV catalog. 2. Enables unauthenticated remote code execution. 3. Apply Citrix firmware updates immediately.
内存溢出缺陷 (CVE-2025-7775)
该漏洞被归类为内存溢出缺陷,影响 Citrix NetScaler 应用程序交付控制器 (ADC) 和网关系统。
当应用程序写入超出分配内存边界的数据时,就会出现内存溢出漏洞,这可能允许攻击者在易受攻击的系统上执行任意代码。
在 NetScaler 基础设施的背景下,鉴于这些系统在企业网络架构中的关键作用,这代表了一个特别严重的威胁媒介。
通用漏洞评分系统 (CVSS) 分类和技术细节表明,这是一种缓冲区溢出情况,无需身份验证要求即可远程触发。
利用技术通常涉及制作恶意 HTTP 请求,其中包含超过分配内存缓冲区的超大数据有效负载,从而导致内存损坏和潜在的代码执行具有提升的权限。
运行易受攻击的固件版本的 NetScaler 系统容易受到未经身份验证的远程攻击,威胁行为者可以利用特制的网络数据包来触发溢出情况。
该漏洞会影响系统的数据包处理引擎,使攻击者能够绕过安全控制并获得对设备的管理访问权限。
| 风险因素 | 详 |
| 受影响的产品 | – Citrix NetScaler ADC(应用程序交付控制器)- Citrix NetScaler 网关- Citrix NetScaler SD-WAN WANOP- 修补版本之前的所有固件版本 |
| 冲击 | 远程代码执行 (RCE) |
| 利用先决条件 | – NetScaler 管理界面的网络可访问性 – 无需身份验证 – 能够发送精心设计的 HTTP 请求 – 运行易受攻击的固件版本的目标系统 |
| CVSS 3.1 分数 | 9.8(严重) |
修复
CISA 的约束力作指令 (BOD) 22-01 要求所有联邦文职行政部门 (FCEB) 机构立即实施针对 CVE-2025-7775 的补救措施。
该指令根据常见弱点枚举 (CWE) 分类和主动利用的证据,为修补漏洞制定了严格的时间表。
在应用供应商提供的补丁时,组织必须实施网络分段和访问控制列表 (ACL) 作为临时缓解措施。
Citrix 发布了包含固件更新的安全公告,这些更新通过改进的边界检查和输入验证机制解决内存溢出问题。
系统管理员应优先更新到包含安全修复程序的最新 NetScaler 固件版本,通常涉及用于配置管理的 nsconfig 命令行界面。
此外,实施 Web 应用程序防火墙 (WAF) 规则可以帮助检测和阻止针对易受攻击的代码路径的利用尝试。
将 CVE-2025-7775 纳入 KEV 目录凸显了该漏洞的严重性以及野外主动利用的书面证据,需要立即做出组织响应,以防止企业网络基础设施受到潜在损害。
