Citrix 發佈緊急修補程式,修復 NetScaler ADC 與 Gateway 的嚴重記憶體越界漏洞
TL;DR
Citrix 發佈緊急修補程式,修復 NetScaler ADC 與 Gateway 的嚴重記憶體越界漏洞
如果您正在使用 NetScaler 基礎架構,請立即停下手邊工作並檢查您的版本號。Cloud Software Group 剛剛針對 NetScaler ADC、Gateway 和 Console 發佈了一批緊急修補程式。我們所談論的是一系列漏洞——部分漏洞的 CVSS 評分高達 9.3——這些漏洞可能讓攻擊者劫持會話、竊取敏感數據,或直接入侵您的網絡。
這並非「有空再修補」的情況。這些缺陷觸及了您的設備處理記憶體和身份驗證的核心機制。
漏洞分析:哪裡出了問題?
該公告涵蓋了一系列複雜的錯誤,但其中兩個漏洞因其嚴重性而特別引人注目。首先是 CVE-2025-5777,這是一個影響 NetScaler Gateway 和 AAA 虛擬伺服器的嚴重記憶體越界 (memory overread) 漏洞。其次是 CVE-2026-3055,這是一個針對作為 SAML 身份提供者 (IdP) 運作的系統的越界讀取 (out-of-bounds read) 漏洞。
安全社群對於這些漏洞是否已被積極利用看法不一。一些報告指出不法分子已經開始探測這些漏洞,而另一些報告則尚未觀察到大規模的攻擊活動。無論如何,在評分如此之高的情況下,等待確認攻擊發生才行動是極不明智的。
以下是主要漏洞的簡要說明:
| 漏洞編號 | CVSS 評分 | 嚴重程度 | 主要影響 |
|---|---|---|---|
| CVE-2025-5777 | 9.3 | 嚴重 | Gateway/AAA 記憶體越界 |
| CVE-2026-3055 | 9.3 | 嚴重 | 越界讀取 (SAML IdP) |
| CVE-2025-5349 | 8.7 | 高 | 不當存取控制 |
| CVE-2026-4368 | 7.7 | 高 | 使用者會話混淆/競爭條件 |
| CVE-2025-4365 | 6.9 | 中 | 任意檔案讀取 |
以 CVE-2026-4368 為例,這是一個本質上會擾亂使用者會話的競爭條件 (race condition)。在共享或多租戶環境中,這簡直是一場噩夢——您可能會遇到一個使用者意外進入另一個使用者的會話環境。這種邏輯錯誤會讓安全的閘道形同虛設。
修復指南
修補這些漏洞並非點擊「更新」後即可了事。由於這些缺陷涉及記憶體管理,您必須清除系統以確保沒有「殘留」數據。
首先,請前往 NetScaler 官方安全性更新頁面 獲取適合您環境的特定版本。您需要關注的版本包括 14.1-66.59、13.1-62.23 或 13.1-37.262 (針對 FIPS/NDcPP)。
更新完成後,工作尚未結束。請遵循以下步驟以確保修復生效:
- 終止會話: 升級後,您必須使所有活動和持久性會話失效。如果不這樣做,您將為可能已遭入侵的會話留下持續存在的機會。
- 清除管道: 在 HA 對和叢集節點上,您需要手動清除連線緩衝區。執行
kill icaconnection -all和kill pcoipConnection -all以清除任何殘留且可能受污染的數據。 - 鎖定控制台: 不要修補完就置之不理。請根據 NetScaler 控制台安全性最佳實踐 檢查您的設定,確保管理介面沒有暴露在公共網際網路上。
CERT-EU 安全公告 明確指出:這些不僅僅是小錯誤。由於它們直接攻擊您的身份驗證核心(特別是 SAML IdP 和 AAA 伺服器),憑證被盜的風險非常真實。
加固您的邊界
如果您一直打算加強網絡安全,現在就是時候了。修補只是第一步,它僅是縱深防禦策略的一部分。請參考 NetScaler 設定指南,並從限制對管理介面的存取開始。如果不需要從網際網路存取,就不應該開放。
請使用 Citrix 官方支援文章 來驗證您的版本需求。每個環境都不同,遺漏特定的版本要求可能會讓您暴露在風險之中。
威脅形勢瞬息萬變。目前的首要任務是在這些漏洞成為下一個重大洩漏報告的頭條新聞之前將其封堵。不要等待幾週後的維護窗口——請將這些更新移至清單的最優先位置。密切關注官方渠道,保持日誌清潔,並且在根據這些新修補程式驗證之前,不要假設您目前的設定已經「足夠安全」。
安全性是一場貓捉老鼠的持久戰,而現在,老鼠已經佔了先機。請儘快部署這些修補程式並清除那些會話緩衝區。