近日,美国网络安全与基础设施安全局(CISA)将一项影响Citrix NetScaler ADC和Gateway系统的关键安全漏洞CVE-2025-5777正式纳入其已知被利用漏洞(Known Exploited Vulnerabilities,简称KEV)目录,明确指出该漏洞已经在现实环境中被攻击者加以利用。这一决定反映了CISA对漏洞风险的高度重视,尤其是对联邦民用企业网络安全的潜在威胁。CVSS评分高达9.3,显示其严重程度极高。CVE-2025-5777本质上是一种输入验证不足的漏洞,攻击者可借此绕过认证机制,尤其当Citrix NetScaler设备配置为Gateway或AAA(身份验证、授权、计费)虚拟服务器时更易受到影响。业内人士将此称为“Citrix Bleed 2”,因为其与此前知名的Citrix Bleed漏洞(CVE-2023-4966)存在相似机制,即通过重复发送特定Payload触发内存泄漏,逐步“流血”敏感信息。漏洞导致的异常内存读取,可能导致会话令牌和其他敏感认证数据被泄露,进而使攻击者可以未经授权访问内网应用、VPN、数据中心乃至整个企业网络。
Citrix NetScaler常被企业部署为核心的网络入口,包括VPN和代理服务器。一旦攻击成功,黑客能利用窃取的会话快速横向渗透网络,访问单点登录门户、云控制面板及高权限管理界面,尤其在混合IT架构和内部隔离不强的环境中,风险极易升级至全面入侵。安全研究机构Kevin Beaumont近期披露,CVE-2025-5777的利用活动自2025年6月中旬开始出现,在全球范围内已有超过百起攻击事件被确认,涉及科技、法律、教育、金融服务、政府及电信等多个行业。GreyNoise数据也显示,至少十个恶意IP地址在过去30天内发动攻击,区域涵盖保加利亚、美国、中国、埃及和芬兰,主要目标锁定在美国、法国、德国、印度与意大利。大量自动化工具利用这一漏洞反复扫描互联网,金融服务领域受攻击比例最高。因漏洞特性不产生传统恶意软件痕迹,机构难以通过常规安全检测发现攻击,无法避免会话令牌被劫持或重放利用,提升了安全防御的复杂性。
CISA已对联邦民用执行部门下达了最短的修补期限,要求于2025年7月11日前完成漏洞修复和相关缓解措施。对此,Citrix发布更新补丁,推荐升级至14.1-43.56版本或以上,并建议在应用补丁后立即终止所有通过AAA及Gateway验证的活动会话,以使潜在盗用的会话令牌失效。同时,安全管理员应重点监控认证日志文件(如ns.log)是否出现异常请求和响应,尤其关注“/p/u/doAuthentication.do”路径及非预期的XML数据字段。漏洞的内存读取类型也意味着传统依赖恶意软件检测的安全产品难以发现入侵行为,增强了情报共享和日志审计的重要性。值得注意的是,CVE-2025-5777并非唯一被利用的Citrix NetScaler危害漏洞,在此前几日CISA也提醒企业关注另一则评分9.2的高危漏洞(CVE-2025-6543),同样存在实际攻击活动。更早前,CISA曾发布针对OSGeo GeoServer(CVE-2024-36401)的告警,该漏洞已被用来植入远程控制工具和加密货币挖矿软件,导致韩国部分组织遭受资源滥用和信息泄露。
整体来看,这一系列事件凸显了现代企业面临的复杂网络威胁环境。攻击者不断利用自动化工具快速扫描并利用漏洞,一旦成功入侵,后续的横向移动和权限提升将严重威胁企业核心资产和数据安全。企业级用户应高度警惕,及时关注官方安全通报,采取多层防御策略。升级和修补只是第一步,同时理想的安全防御体系需要结合访问控制、网络分段、实时监控以及威胁情报分析,强化对入侵行为的快速响应能力。此外,养成主动审计安全日志和异常行为检测的习惯,对早期发现可疑活动至关重要。面对快速变化的攻击手段和不断涌现的漏洞隐患,建立健全的漏洞管理和风险响应机制不可或缺。
此次CISA明确将CVE-2025-5777列入KEV目录,强调快速修补对保障联邦及大型企业网络安全的重要性,是对企业敲响的警钟。最终,唯有通过多层次、安全文化的持续强化和技术手段的有机结合,才能最大限度地防范此类高级威胁,保障信息系统的稳健运行和数据安全。
