Citrix NetScaler 系列产品中存在一个严重的零日漏洞(漏洞编号:CVE-2025-6543),威胁攻击者至少自 2025 年 5 月起就已在主动利用该漏洞,而此时距离相关补丁发布还有数月时间。
Citrix 最初将该漏洞轻描淡写地描述为 “内存溢出漏洞,可能导致非预期的控制流跳转与拒绝服务(DoS)”,但后续事实表明,该漏洞可被用于实现 “未授权远程代码执行(RCE)”,已导致全球范围内多家政府机构与法律服务机构遭遇大规模入侵。
2025 年 6 月末,Citrix 发布了针对 CVE-2025-6543 的修复补丁。然而截至此时,攻击者利用该漏洞实施攻击已长达数周。
攻击者通过该漏洞入侵 NetScaler 远程访问系统,部署网页后门(webshell)—— 即便在系统安装补丁后,这种后门仍能确保攻击者维持持久访问权限,同时窃取用户凭证。
凯文・博蒙特(Kevin Beaumont)指出,有证据显示 Citrix 早已知晓该漏洞的严重性及正在发生的利用行为,却未向客户全面披露威胁的真实范围。该公司仅在客户主动请求且满足严格条件的情况下,才提供用于检测系统是否遭入侵的脚本,且未充分说明当前局势及脚本的局限性。
荷兰国家网络安全中心(NCSC)在揭露此次攻击真实性质的过程中发挥了关键作用。其调查证实,该漏洞被作为零日漏洞利用,且攻击者会主动清除痕迹,给取证分析工作带来极大挑战。
NCSC 于 2025 年 8 月发布的报告称,“荷兰境内多家关键机构已遭成功攻击”,且该漏洞至少自 5 月初起就已被滥用。
据信,同一批技术娴熟的威胁攻击者还利用了另一个零日漏洞 ——CVE-2025-5777(又称 “CitrixBleed 2”),通过该漏洞窃取用户会话。目前,相关调查仍在进行中,以确认该团伙是否还对较新的漏洞(CVE-2025-7775)实施了利用。
针对 CVE-2025-6543 漏洞的利用方式如下:攻击者向存在漏洞的 NetScaler 设备的/cgi/api/login端点提交恶意客户端证书,即可实现对系统内存的覆盖。
通过发送数百次此类请求,攻击者可覆盖足够多的内存空间,进而在目标系统上执行任意代码。借助这种方式,攻击者能在目标网络中建立 “立足点”,随后滥用窃取的轻型目录访问协议(LDAP)服务账户凭证,在 Active Directory(活动目录)环境中实现横向移动。
网络安全专家强烈建议,所有使用面向互联网的 Citrix NetScaler 设备的机构立即采取行动。
系统管理员应排查系统是否存在入侵痕迹,具体包括:检查 Web 访问日志中是否存在向/cgi/api/login端点发送的大量 POST 请求(通常是连续快速发送);若 NetScaler 日志中出现错误代码 “1245184”(表示 “无效客户端证书”),则是存在漏洞利用尝试的强烈信号。
NCSC 已在 GitHub 上发布脚本,帮助机构检测运行中的主机及核心转储(coredump)文件是否存在入侵痕迹。
若怀疑系统已遭入侵,建议采取以下步骤:
- 立即将受影响的 NetScaler 设备下线;
- 对系统进行镜像备份,用于后续取证分析;
- 更换 LDAP 服务账户凭证,防止攻击者进一步横向移动;
- 部署全新的、已安装补丁的 NetScaler 实例,并使用新的凭证。
美国网络安全与基础设施安全局(CISA)已将 CVE-2025-6543 纳入 “已知被利用漏洞(KEV)目录”,以此强调各机构及时安装补丁、排查恶意活动痕迹的紧迫性。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
