Citrix 发布紧急补丁,修复 NetScaler ADC 和 Gateway 严重内存越界漏洞
TL;DR
Citrix 发布紧急补丁,修复 NetScaler ADC 和 Gateway 严重内存越界漏洞
如果您正在运行 NetScaler 基础设施,请立即停下手中的工作并检查您的版本号。Cloud Software Group 刚刚发布了一批针对 NetScaler ADC、Gateway 和 Console 的紧急补丁。此次涉及的漏洞集合中,部分漏洞的 CVSS 评分高达 9.3,攻击者可能利用这些漏洞劫持会话、窃取敏感数据或直接入侵您的网络。
这绝不是一个“有空再修复”的问题。这些缺陷触及了您的设备处理内存和身份验证的核心机制。
漏洞解析:出了什么问题?
此次公告涵盖了一系列漏洞,其中两个因其严重性而尤为突出。首先是 CVE-2025-5777,这是一个影响 NetScaler Gateway 和 AAA 虚拟服务器的严重内存越界漏洞。其次是 CVE-2026-3055,这是一个针对作为 SAML 身份提供商 (IdP) 运行的系统的越界读取漏洞。
安全社区对于是否存在主动利用行为看法不一。一些报告显示恶意攻击者已经开始探测这些漏洞,而另一些报告则尚未观察到大规模攻击活动。无论如何,面对如此高的评分,等待确认被利用是极其危险的。
以下是主要漏洞的简要说明:
| 漏洞编号 | CVSS 评分 | 严重程度 | 主要影响 |
|---|---|---|---|
| CVE-2025-5777 | 9.3 | 严重 | Gateway/AAA 内存越界 |
| CVE-2026-3055 | 9.3 | 严重 | 越界读取 (SAML IdP) |
| CVE-2025-5349 | 8.7 | 高 | 访问控制不当 |
| CVE-2026-4368 | 7.7 | 高 | 用户会话混淆/竞态条件 |
| CVE-2025-4365 | 6.9 | 中 | 任意文件读取 |
以 CVE-2026-4368 为例,这是一个本质上会扰乱用户会话的竞态条件漏洞。在共享或多租户环境中,这简直是一场噩梦——可能导致一个用户意外进入另一个用户的会话上下文。这种逻辑错误会将安全的网关变成一个筛子。
修复指南
修复这些漏洞不仅仅是点击“更新”那么简单。由于这些缺陷涉及内存管理,您必须刷新系统以确保没有“残留”数据。
首先,请前往 NetScaler 官方安全更新页面 获取适用于您环境的特定版本。您需要关注的目标版本包括 14.1-66.59、13.1-62.23 或 13.1-37.262(针对 FIPS/NDcPP)。
应用更新后,工作尚未完成。请按照以下步骤确保修复生效:
- 终止会话: 升级后,您必须使所有活动和持久会话失效。如果不这样做,可能会导致已受损的会话继续存在。
- 清理管道: 在高可用性 (HA) 对和集群节点上,您需要手动清除连接缓冲区。运行
kill icaconnection -all和kill pcoipConnection -all以清除任何残留的、可能受污染的数据。 - 锁定控制台: 不要只顾着打补丁。请对照 NetScaler 控制台安全最佳实践 审查您的设置,确保管理接口未暴露在公共互联网上。
CERT-EU 安全公告 明确指出:这些不仅仅是小漏洞。由于它们直接攻击您的身份验证核心(特别是 SAML IdP 和 AAA 服务器),凭据被盗的风险非常真实。
加固您的边界
如果您一直打算加强网络安全,现在就是时候了。打补丁只是第一步,它只是纵深防御策略的一部分。请查看 NetScaler 配置指南,并从限制对管理接口的访问开始。如果不需要从互联网访问,就不应该开放。
请使用 Citrix 官方支持文章 来验证您的构建要求。每个环境都不同,遗漏特定的版本要求可能会让您处于暴露状态。
威胁形势瞬息万变。目前的首要任务是在这些漏洞成为下一次重大泄露报告的头条新闻之前将其堵住。不要等待几周后的维护窗口——将这些更新排在首位。密切关注官方渠道,保持日志整洁,在根据这些新补丁验证之前,不要假设您当前的配置是“足够安全”的。
安全是一场猫鼠游戏,而现在,老鼠已经领先了。请尽快部署这些补丁并清除会话缓冲区。