关键 CitrixBleed 漏洞正遭活跃利用,NetScaler 网关亟需紧急安全补丁
TL;DR
关键 CitrixBleed 漏洞正遭活跃利用,NetScaler 网关亟需紧急安全补丁
如果您正在运行 Citrix NetScaler ADC 或网关设备,请立即停下手中的工作,检查您的补丁日志。现在就去。我们正面临 CVE-2026-8451 和虽然较旧但依然危险的 CVE-2025-5777 这两项漏洞的猛烈冲击,目前威胁行为者正对其进行利用。这些不仅仅是理论上的风险;它们正被用于绕过身份验证并劫持会话,CISA 已将它们列入其“已知被利用漏洞”(KEV)目录。
问题的核心是什么?这些设备像筛子一样泄露内存。未经身份验证的攻击者可以直接从内存中窃取敏感数据——会话令牌、MFA 凭据等等。他们不需要密码,也不需要邀请。他们只需要探测正确的端点,设备就会交出通往王国的钥匙。
漏洞剖析:CVE-2025-5777 和 CVE-2026-8451
让我们谈谈“CitrixBleed 2”或 CVE-2025-5777。这个漏洞非常棘手,因为它太简单了。通过向 /p/u/doAuthentication.do 发送格式错误、不完整的 POST 请求,攻击者每次请求可以抓取 127 字节的内存。这听起来很小,但足以窃取 SAML StateContext 和活动会话令牌。Splunk Research 自 2025 年 6 月中旬以来一直在跟踪此漏洞,并指出攻击者正在使用 HeadlessChrome 等自动化脚本进行大规模攻击。
然后是较新的麻烦:CVE-2026-8451。这是一个预身份验证内存越界读取漏洞,CVSS 评分为 8.8。它针对 SAML 解析器,专门利用 NSC_TASS cookie 进行攻击。正如 Tech Insider 所指出的,其武器化的速度令人恐惧——蜜罐在 2026 年 6 月 30 日漏洞公开后的 24 小时内就捕捉到了利用尝试。
影响与缓解:您需要做什么
由于这些漏洞在身份验证之前触发,因此您的标准边界防御实际上是无效的。您无法通过防火墙解决此问题。以下是威胁分析:
| 漏洞 ID | 主要向量 | 影响 |
|---|---|---|
| CVE-2025-5777 | /p/u/doAuthentication.do |
会话令牌/MFA 窃取 |
| CVE-2026-8451 | SAML 解析器 (NSC_TASS) | 内存越界读取/数据泄露 |
如果您想防止网络被洗劫,必须迅速采取行动。以下是您的检查清单:
- 打补丁,打补丁,打补丁: 不要等到周末。部署 Citrix 在 2026 年 6 月 30 日发布的紧急更新。这里没有中间地带;如果不打补丁,您就处于暴露状态。
- 终止会话: 这是人们容易忘记的部分。即使修补了漏洞,攻击者可能已经带着窃取的令牌潜伏在内部。您需要全局终止所有活动会话,以清除任何未经授权的访问。
- 寻找异常行为: 使用 Splunk Research 的网络监控指南 来查找这些漏洞留下的特定遥测数据。
- 审计日志: 查找不完整的 POST 请求或看起来异常大的 HTTP 响应。这些是内存越界读取攻击正在进行的明显迹象。
升级周期
我们以前见过这种情况。安全研究人员自 2026 年初以来一直警告称,NetScaler 漏洞是大规模利用浪潮的预警信号。一旦概念验证(PoC)代码出现在野外,闸门就会打开。自动化、机会主义的攻击几乎紧随其后,一夜之间将“关键漏洞”变成“全面事件”。
CISA 标记这些漏洞的事实对联邦和私营部门来说都是一个巨大的危险信号。没有一种“变通方法”可以让您在不冒基础设施风险的情况下维持运营。您必须打补丁。如果不这样做,您就是敞开大门,让攻击者绕过您的 MFA 并保持在您网络中的持久立足点。
如果您怀疑自己已经受到攻击,请不要惊慌——只需有条不紊地处理。Splunk Research 的基于 Web 的检测指南 是识别这些攻击中使用的特定 HTTP 请求结构的绝佳资源。将该数据输入您的 SIEM,看看是否有任何异常情况。
归根结底,这些设备是您最敏感资源的门户。当门锁坏了时,您不能仅仅贴上一张“请勿进入”的告示——您必须修理锁。打补丁是关门的唯一方法,而会话失效是确保将当前内部的入侵者踢出去的唯一方法。保持警惕,保持更新,在补丁验证且会话终止之前,不要认为自己是安全的。