CitrixBleed 2漏洞 PoC 被公开

Citrix NetScaler 设备中存在的新严重漏洞引发了安全专家的警告，该漏洞可能被广泛利用，这与 2023 年引发广泛影响的毁灭性“ CitrixBleed ”攻击有着惊人的相似之处。

该漏洞编号为 CVE-2025-5777，被称为“CitrixBleed 2”，允许攻击者直接从设备内存中窃取敏感信息，可能绕过多因素身份验证并劫持用户会话。

watchTower Labs 研究人员披露的漏洞分析显示，该内存泄漏漏洞影响配置为远程访问网关的 NetScaler ADC 和 NetScaler Gateway 设备。

该漏洞的 CVSS 严重性评分为 9.3，源于输入验证不足，导致处理身份验证请求时内存溢出。

最初的 CitrixBleed 漏洞 ( CVE-2023-4966 ) 被勒索软件团体和APT组织广泛利用，导致引人注目的漏洞攻击活动，包括对波音和康卡斯特的 Xfinity 服务的攻击，影响了 3600 万客户。

网络安全公司 ReliaQuest报告称，他们观察到“中等置信度”指标，表明该漏洞已被利用进行有针对性的攻击。

证据包括被劫持的 Citrix Web 会话，在用户不知情的情况下授予身份验证，表明成功绕过了多因素身份验证。

研究人员发现了几个令人担忧的模式：跨可疑 IP 地址的会话重用、与Active Directory侦察相关的 LDAP 查询，以及在受感染环境中部署的多个 ADExplorer64.exe 工具实例。

攻击者似乎正在使用消费级 VPN 服务来掩盖其活动，同时进行入侵后侦察。

watchTower Labs 的分析显示，该漏洞的利用方式出奇地简单。攻击者只需向 Citrix Gateway 登录端点发送一个格式错误的 HTTP 请求，且该请求中没有正确的参数值，即可触发内存泄漏，从而暴露设备内存中未初始化的包含敏感数据的变量。

研究人员解释说：“这里底层发生的事情是典型的 C 语言恶意攻击案例。后端解析器最终会返回一个未初始化的局部变量”，其中包含之前存储在内存中的所有数据，可能包括会话令牌和其他敏感信息。

当攻击者向终端发送包含格式错误的登录参数的 HTTP POST 请求时，该漏洞就会显现/p/u/doAuthentication.do。系统不会正确初始化内存变量，而是返回之前存储在内存中的残留数据，这构成了 CWE-457 的典型案例：未初始化变量的使用。

安全研究员 Kevin Beaumont（创造了“CitrixBleed 2”这个绰号）指出，根据 Shodan 搜索，超过 5 万个潜在易受攻击的 NetScaler 实例暴露在互联网上。

Shadowserver 基金会发现，尽管 Citrix 于 6 月 17 日发布了修复程序，但截至 2025 年 6 月下旬，仍有超过 1200 台设备未打补丁。

Citrix 已发布受支持版本的安全更新，并强烈敦促各组织立即升级。

该公司建议在补丁完成后终止所有活动的 ICA 和 PCoIP 会话，以防止潜在的会话劫持。运行已停用 12.1 和 13.0 版本的企业必须升级到受支持的版本，因为这些版本将不会收到安全补丁。

鉴于最初的 CitrixBleed 攻击造成的严重影响，且在补丁发布后的数月内仍继续被利用，安全专家强调，组织不能延迟修补工作。

该漏洞与之前的漏洞相似，表明它可能会成为寻求初步访问企业网络的网络犯罪分子青睐的工具。

漏洞详细分析：

https://labs.watchtowr.com/how-much-more-must-we-bleed-citrix-netscaler-memory-disclosure-citrixbleed-2-cve-2025-5777/

新闻链接：

https://cybersecuritynews.com/citrixbleed-2-poc-released/