CitrixBleed 嚴重漏洞正遭積極利用,NetScaler Gateway 需立即進行安全修補
TL;DR
CitrixBleed 嚴重漏洞正遭積極利用,NetScaler Gateway 需立即進行安全修補
如果您正在使用 Citrix NetScaler ADC 或 Gateway 設備,請立即停下手邊工作並檢查您的修補記錄。我們正面臨 CVE-2026-8451 與舊有但同樣危險的 CVE-2025-5777 這兩項漏洞的夾擊,目前威脅行為者正積極利用這些漏洞。這些不僅是理論上的風險,它們正被用於繞過身份驗證並劫持會話,美國網路安全與基礎設施安全局 (CISA) 已將其列入「已知被利用漏洞」(KEV) 目錄中。
問題的核心在於:這些設備存在嚴重的記憶體洩漏問題。未經身份驗證的攻擊者可以直接從記憶體中竊取敏感數據,包括會話令牌 (session tokens)、MFA 憑證等。他們不需要密碼,也不需要邀請,只需針對正確的端點進行探測,設備就會交出存取權限。
漏洞剖析:CVE-2025-5777 與 CVE-2026-8451
首先談談「CitrixBleed 2」,即 CVE-2025-5777。這個漏洞之所以棘手,是因為它非常簡單。攻擊者只需向 /p/u/doAuthentication.do 發送一個格式錯誤且不完整的 POST 請求,即可從每次請求中竊取 127 位元組的記憶體。這聽起來不多,但足以獲取 SAML StateContext 和活動會話令牌。Splunk Research 自 2025 年 6 月中旬以來一直在追蹤此漏洞,並指出攻擊者正使用 HeadlessChrome 等自動化腳本進行大規模攻擊。
接著是較新的頭痛問題:CVE-2026-8451。這是一個 CVSS 評分為 8.8 的預身份驗證記憶體過度讀取 (memory-overread) 漏洞。它針對 SAML 解析器,特別是針對 NSC_TASS Cookie 進行攻擊。正如 Tech Insider 所指出的,該漏洞的武器化速度極快——在 2026 年 6 月 30 日漏洞公開後的 24 小時內,蜜罐系統就已偵測到攻擊嘗試。
影響與緩解:您需要做什麼
由於這些漏洞在身份驗證「之前」觸發,標準的邊界防禦措施實際上已失效。您無法僅靠防火牆來解決此問題。以下是威脅分析:
| 漏洞 ID | 主要攻擊向量 | 影響 |
|---|---|---|
| CVE-2025-5777 | /p/u/doAuthentication.do |
會話令牌/MFA 竊取 |
| CVE-2026-8451 | SAML 解析器 (NSC_TASS) | 記憶體過度讀取/數據洩漏 |
若要防止您的網路被入侵,您必須採取迅速行動。以下是您的檢查清單:
- 立即修補: 不要等到週末。請部署 Citrix 於 2026 年 6 月 30 日發布的緊急更新。這沒有妥協空間;若未修補,您就處於暴露狀態。
- 終止會話: 這是人們最容易忽略的部分。即使修補了漏洞,攻擊者可能已經持有竊取的令牌在系統內。您必須全域終止所有活動會話,以清除任何未經授權的存取。
- 搜尋異常活動: 使用 Splunk Research 的網路監控指南 來尋找這些攻擊留下的特定遙測數據。
- 審核日誌: 檢查是否存在不完整的 POST 請求或異常巨大的 HTTP 回應,這些都是記憶體過度讀取攻擊的典型跡象。
升級週期
我們對此並不陌生。安全研究人員自 2026 年初以來一直警告,NetScaler 漏洞是大規模攻擊浪潮的警訊。一旦概念驗證 (PoC) 代碼流出,攻擊大門隨即敞開。自動化的機會主義攻擊幾乎隨之而來,一夜之間將「嚴重漏洞」轉變為「全面事故」。
CISA 將這些漏洞列入名單,對聯邦和私營部門來說都是一個巨大的警訊。沒有任何「變通方法」可以在不冒險的情況下維持運作。您必須修補。如果不修補,您等於敞開大門,讓攻擊者繞過 MFA 並在您的網路中保持持久的立足點。
如果您懷疑自己已經受到攻擊,請不要驚慌,保持冷靜並採取系統性行動。Splunk Research 的網頁偵測指南 是識別這些攻擊中使用的特定 HTTP 請求結構的絕佳資源。將這些數據輸入您的 SIEM 並檢查是否有異常情況。
歸根結底,這些設備是您最敏感資源的前門。當門鎖壞了,您不能只是貼上「請勿進入」的告示,您必須修復門鎖。修補是關閉大門的唯一方法,而會話失效則是確保將當前入侵者踢出的唯一途徑。請保持警惕,隨時更新,在修補程式驗證完成且會話已終止之前,切勿假設自己是安全的。