Citrix Bleed 2 漏洞（CVE-2025-5777）疑似遭积极利用：ReliaQuest 发布紧急警报

据网络安全公司 ReliaQuest 披露，Citrix NetScaler ADC 和网关的关键漏洞“Citrix Bleed 2”（CVE-2025-5777）目前很可能已被攻击者利用，Citrix 设备上的可疑会话数量明显增加。

Import a Citrix Gateway | StoreFront™ 2203

Citrix Bleed 2 漏洞详解该漏洞由网络安全研究员 Kevin Beaumont 命名，因其与 2023 年的原始 Citrix Bleed（CVE-2023-4966）高度相似，属于内存读取类漏洞。未经身份验证的攻击者可借此访问设备中通常受保护的内存区域，从而窃取面向公众的网关和虚拟服务器上的会话令牌、凭据及其他敏感数据，最终实现用户会话劫持并绕过多因素身份验证（MFA）。

Citrix 官方顾问已确认风险，并强烈建议用户立即安装安全更新，同时终止所有可能被劫持的 ICA 和 PCoIP 会话。

Responding to CitrixBleed (CVE-2023-4966): Key Takeaways from Affected Companies

攻击利用证据Citrix 已于 2025 年 6 月 17 日发布补丁修复 CVE-2025-5777，当时并无活跃利用报告。但 ReliaQuest 通过对近期真实攻击的分析，认为攻击者正在积极利用该漏洞获取目标环境的初始访问权限。主要迹象如下：

• 被劫持的 Citrix Web 会话在无用户交互的情况下直接获得身份验证，表明攻击者使用窃取的会话令牌绕过了 MFA；
• 同一 Citrix 会话在合法 IP 与可疑 IP 间反复出现，显示典型的会话劫持与重放行为；
• 访问后立即发起 LDAP 查询，表明攻击者正在进行 Active Directory 侦察，映射用户、组和权限；
• 系统上同时运行多个 adeexplorer64.exe 实例，显示对多个域控制器的协调侦察尝试；
• Citrix 会话源自与消费者 VPN 提供商（如 DataCamp）关联的数据中心 IP，表明攻击者通过匿名基础设施隐藏真实来源。

这些行为与利用 Citrix 漏洞后的典型后续攻击链完全一致，进一步印证了 CVE-2025-5777 已被实际利用。

立即防护措施受影响的用户应尽快升级到以下修复版本：

• 14.1-43.56 及更高版本
• 13.1-58.32 及更高版本
• 13.1-FIPS/NDcPP 13.1-37.235 及更高版本

升级后，管理员必须立即终止所有活动 ICA 和 PCoIP 会话（它们可能已被劫持）。终止前请先执行以下命令检查可疑活动：

• show icconnection
• 在 NetScaler Gateway > PCoIP > Connections 中查看

确认后，可使用以下命令终止所有连接：

• kill icconnection -all
• kill pcoipconnection -all

若暂时无法升级，建议立即通过网络 ACL 或防火墙规则限制外部对 NetScaler 的访问。

Access Control List (ACL)

Citrix 官方回应在被问及 CVE-2025-5777 是否被积极利用时，Citrix 表示尚未发现任何利用迹象。但同一模块中的另一个漏洞 CVE-2025-6543 已被确认在真实攻击中利用，可能导致 NetScaler 设备出现拒绝服务（DoS）情况。

建议拥有 NetScaler ADC / Gateway 环境的组织，请立即检查版本并应用补丁，同时加强会话监控，以最大限度降低风险。安全更新是当前最有效的防护手段。