CISA確認Citrix Bleed 2漏洞被積極利用

首頁新聞* CISA 在確認存在主動攻擊後，將一個關鍵的 Citrix NetScaler 漏洞 (CVE-2025-5777) 添加到其已知被利用漏洞目錄中。

• 這個漏洞被稱爲“Citrix Bleed 2”，允許身分驗證繞過和內存過讀，從而可能導致敏感數據的泄露。
• 安全研究人員和供應商報告稱，盡管Citrix尚未更新其自身的公告，攻擊者仍在持續利用這一漏洞。
• 攻擊者瞄準關鍵網路設備，使企業網路面臨風險，而CISA建議立即修補和強制終止會話。
• 其他漏洞，例如GeoServer中的CVE-2024-36401，也被用於攻擊，包括部署加密貨幣挖礦惡意軟件。 在2025年7月10日，美國網路安全和基礎設施安全局(CISA)將影響Citrix NetScaler ADC和Gateway的一個關鍵安全漏洞添加到其已知被利用漏洞(KEV)目錄中。這一舉動確認了被識別爲CVE-2025-5777的漏洞正在被用於積極的網路攻擊。

• 廣告 - CVE-2025-5777，也被稱爲“Citrix Bleed 2”，其CVSS評分爲9.3。該漏洞存在於輸入驗證不足的情況下。當被利用時，它允許攻擊者繞過在設置爲網關或AAA虛擬服務器的系統上的身分驗證。該問題導致內存過讀，可能泄露敏感信息。

安全研究員Kevin Beaumont的報告指出，利用活動始於6月中旬。據報道，其中一個攻擊者的IP地址與RansomHub勒索軟體組有關。GreyNoise的數據表明，來自多個國家的10個惡意IP地址，其中美國、法國、德國、印度和意大利是主要目標。Citrix截至2025年6月26日尚未在其官方通告中確認利用活動。

該漏洞的風險很高，因爲受影響的設備通常充當 VPN 或身分驗證服務器。“會泄露會話令牌和其他敏感數據——這可能導致對內部應用程序、VPN、數據中心網路和內部網路的未經授權訪問，” 根據 Akamai 的說法。專家警告說，攻擊者可能通過利用脆弱的設備獲得對公司網路的更廣泛訪問，並轉向其他內部系統。

CISA建議所有組織更新到其6月17日建議中列出的Citrix修補版本，如14.1-43.56或更高版本。打補丁後，管理員應結束所有活動會話，以使任何被盜的身分驗證令牌失效。安全團隊應檢查身分驗證端點的日志，以發現異常活動，因爲此漏洞可能會導致令牌盜竊和會話重放，而不會留下標準的惡意軟件痕跡。

在不同的事件中，攻擊者正在利用 OSGeo GeoServer GeoTools (CVE-2024-36401 的關鍵漏洞，CVSS 分數：9.8)，在韓國安裝 NetCat 和 XMRig 挖礦軟件。一旦安裝，這些挖礦軟件將使用系統資源來生成加密貨幣，而 NetCat 則使進一步的惡意行爲或數據盜竊成爲可能。

之前的文章:

• 比特幣創下116,000美元的歷史新高，市場反彈推動加密貨幣市場漲
• 穩定幣主導去中心化金融（DeFi），引發中心化風險的質疑
• Plasma Sets 7月17日代幣銷售在主網之前，新穩定幣
• 英國逮捕四人，針對M&S、Co-op和哈羅德百貨的重大零售網路攻擊
• SharpLink 接近成爲最大的企業以太坊持有者的記錄

• 廣告 -