吳明宜Citrix NetScaler ADC 和 Gateway 近日二個已經由 Citrix 修補的漏洞,風險性極高,由於和之前一個允許非授權攻擊者劫持驗證 cookies 的漏洞類似,被安全研究人員稱為 CitrixBleed 2 。
上周 Citrix 發佈安全公告修補 CVE-2025-5777 和 CVE-2025-5349 兩個影響 NetScaler ADC 及 Gateway 的漏洞。受影響的產品版本為 NetScaler ADC/Gateway 14.1(14.1-43.56 以前)及 13.1(13.1-58.32 以前)、 NetScaler ADC 13.1-FIPS 與 NDcPP(13.1-37.235 以前)及 NetScaler ADC 12.1-FIPS(12.1-55.328 以前)。
其中 CVE-2025-5777 為越界記憶體讀取 (Out-of-bounds Read) 的重大漏洞,允許非授權攻擊者存取部份記憶體,造成資料不當外洩。該漏洞風險值為 CVSS 4.0 的 9.3 。
安全專家 Kevin Beaumont 指出,CVE-2025-5777 和二年前的 CVE-2023-4966 很類似。 CVE-2023-4966 被稱為 CitrixBleed,當時有眾多駭客組織和勒索軟體用以攻擊政府或民間企業。
因此 Beaumont 稱 CVE-2025-5777 為 Citrix Bleed 2,他說,這項漏洞可能被用以存取連向公開網路的閘道和虛擬伺服器,竊取會話 (session) 令牌、憑證和其他敏感資料。外洩的令牌可以重新使用,讓駭客劫持使用者會話,繞過多因素驗證 (multi-factor authentication, MFA) 。
另一個漏洞 CVE-2025-5349,為 NetScaler 管理介面的存取控制不當漏洞,可讓未授權用戶存取系統設定、日誌、竄改設定或執行遠端程式碼及控制作業系統,風險值為 CVSS 4.0 的 8.7
Citrix 已經釋出新版本軟體,廠商強烈建議用戶儘速安裝 NetScaler ADC 及 Gateway 14.1-43.56 、 13.1-58.32 及以後版本、 13.1-NDcPP 13.1-37.235 (FIPS) 及 12.1-55.328 (FIPS) 。
雖然 Citrix 未說兩項漏洞是否遭到濫用,但建議用戶安裝更新後,應關閉所有開啟中的 ICA 和 PCoIP 會話。在關閉前,管理員應仔細檢查現有會話是否有可欵活動。方法是使用 show icaconnection 指令,循以下路徑: NetScaler Gateway > PCoIP > Connections 。關閉會話的指令是:
kill icaconnection -all
kill pcoipconnection -all