CISA确认Citrix Bleed 2漏洞被积极利用

首页新闻* CISA 在确认存在主动攻击后，将一个关键的 Citrix NetScaler 漏洞 (CVE-2025-5777) 添加到其已知被利用漏洞目录中。

• 这个漏洞被称为“Citrix Bleed 2”，允许身份验证绕过和内存过读，从而可能导致敏感数据的泄露。
• 安全研究人员和供应商报告称，尽管Citrix尚未更新其自身的公告，攻击者仍在持续利用这一漏洞。
• 攻击者瞄准关键网络设备，使企业网络面临风险，而CISA建议立即修补和强制终止会话。
• 其他漏洞，例如GeoServer中的CVE-2024-36401，也被用于攻击，包括部署加密货币挖矿恶意软件。 在2025年7月10日，美国网络安全和基础设施安全局(CISA)将影响Citrix NetScaler ADC和Gateway的一个关键安全漏洞添加到其已知被利用漏洞(KEV)目录中。这一举动确认了被识别为CVE-2025-5777的漏洞正在被用于积极的网络攻击。

• 广告 - CVE-2025-5777，也被称为“Citrix Bleed 2”，其CVSS评分为9.3。该漏洞存在于输入验证不足的情况下。当被利用时，它允许攻击者绕过在设置为网关或AAA虚拟服务器的系统上的身份验证。该问题导致内存过读，可能泄露敏感信息。

安全研究员Kevin Beaumont的报告指出，利用活动始于6月中旬。据报道，其中一个攻击者的IP地址与RansomHub勒索软件组有关。GreyNoise的数据表明，来自多个国家的10个恶意IP地址，其中美国、法国、德国、印度和意大利是主要目标。Citrix截至2025年6月26日尚未在其官方通告中确认利用活动。

该漏洞的风险很高，因为受影响的设备通常充当 VPN 或身份验证服务器。“会泄露会话令牌和其他敏感数据——这可能导致对内部应用程序、VPN、数据中心网络和内部网络的未经授权访问，” 根据 Akamai 的说法。专家警告说，攻击者可能通过利用脆弱的设备获得对公司网络的更广泛访问，并转向其他内部系统。

CISA建议所有组织更新到其6月17日建议中列出的Citrix修补版本，如14.1-43.56或更高版本。打补丁后，管理员应结束所有活动会话，以使任何被盗的身份验证令牌失效。安全团队应检查身份验证端点的日志，以发现异常活动，因为此漏洞可能会导致令牌盗窃和会话重放，而不会留下标准的恶意软件痕迹。

在不同的事件中，攻击者正在利用 OSGeo GeoServer GeoTools (CVE-2024-36401 的关键漏洞，CVSS 分数：9.8)，在韩国安装 NetCat 和 XMRig 挖矿软件。一旦安装，这些挖矿软件将使用系统资源来生成加密货币，而 NetCat 则使进一步的恶意行为或数据盗窃成为可能。

之前的文章:

• 比特币创下116,000美元的历史新高，市场反弹推动加密货币市场上涨
• 稳定币主导去中心化金融（DeFi），引发中心化风险的质疑
• Plasma Sets 7月17日代币销售在主网之前，新稳定币
• 英国逮捕四人，针对M&S、Co-op和哈罗德百货的重大零售网络攻击
• SharpLink 接近成为最大的企业以太坊持有者的记录

• 广告 -