Citrix 發布緊急修補程式,修復 NetScaler ADC 與 Gateway 的關鍵記憶體越界漏洞
TL;DR
Citrix 發布緊急修補程式,修復 NetScaler ADC 與 Gateway 的關鍵記憶體越界漏洞
如果您正在使用 NetScaler 基礎架構,請立即停下手邊的工作並檢查您的版本號。Cloud Software Group 剛剛針對 NetScaler ADC、Gateway 和 Console 發布了一批緊急修補程式。這些漏洞中,部分 CVSS 評分高達 9.3,攻擊者可能藉此劫持連線、窺探敏感資料,甚至直接入侵您的網路。
這絕非「有空再修」的情況。這些漏洞觸及了設備處理記憶體與驗證的核心機制。
漏洞分析:哪裡出了問題?
此次公告涵蓋了多項漏洞,其中兩項因其嚴重性而特別引人注目。首先是 CVE-2025-5777,這是一個影響 NetScaler Gateway 和 AAA 虛擬伺服器的嚴重記憶體越界(Memory Overread)漏洞。其次是 CVE-2026-3055,這是一個針對作為 SAML 身分提供者(IdP)系統的越界讀取(Out-of-bounds read)漏洞。
資安社群對於這些漏洞是否已被積極利用看法不一。部分報告指出已有駭客正在嘗試攻擊,而其他來源則尚未觀察到大規模的攻擊行動。無論如何,面對如此高的評分,等待確認攻擊發生無疑是冒險之舉。
以下是主要漏洞的快速摘要:
| 漏洞編號 | CVSS 評分 | 嚴重程度 | 主要影響 |
|---|---|---|---|
| CVE-2025-5777 | 9.3 | 關鍵 | Gateway/AAA 記憶體越界 |
| CVE-2026-3055 | 9.3 | 關鍵 | 越界讀取 (SAML IdP) |
| CVE-2025-5349 | 8.7 | 高 | 不當存取控制 |
| CVE-2026-4368 | 7.7 | 高 | 使用者連線混淆/競爭條件 |
| CVE-2025-4365 | 6.9 | 中 | 任意檔案讀取 |
以 CVE-2026-4368 為例,這是一個會導致使用者連線混亂的競爭條件(Race condition)。在共享或多租戶環境中,這簡直是一場惡夢——可能導致一名使用者意外進入另一名使用者的連線環境。這類邏輯錯誤會讓安全閘道形同虛設。
修補指南
修補這些漏洞並非點擊「更新」後即可了事。由於這些漏洞涉及記憶體管理,您必須清除系統以確保沒有殘留的「幽靈」資料。
首先,請前往 NetScaler 官方安全更新頁面 獲取適合您環境的特定版本。您需要關注的版本包括 14.1-66.59、13.1-62.23 或 13.1-37.262(針對 FIPS/NDcPP)。
更新完成後,工作尚未結束。請遵循以下步驟以確保修補生效:
- 終止連線: 升級後,您必須使所有現有的持久性連線失效。若未執行此步驟,可能會讓已遭入侵的連線持續存在。
- 清除緩衝區: 在 HA 對與叢集節點上,您需要手動清除連線緩衝區。執行
kill icaconnection -all與kill pcoipConnection -all指令,以清除任何殘留且可能受污染的資料。 - 鎖定控制台: 不要修補完就置之不理。請根據 NetScaler 控制台安全最佳實踐 檢查您的設定,確保管理介面未暴露於公用網際網路。
CERT-EU 安全公告 明確指出:這些並非小問題。由於它們直接攻擊您的驗證核心(特別是 SAML IdP 和 AAA 伺服器),憑證遭竊的風險非常高。
加固您的網路邊界
如果您一直打算加強網路安全,現在就是時候了。修補只是第一步,這僅是縱深防禦策略的一部分。請參考 NetScaler 設定指南,並從限制管理介面的存取權限開始做起。如果不需要從網際網路存取,就不應該開放。
請使用 Citrix 官方支援文章 來驗證您的版本需求。每個環境各不相同,遺漏特定的版本要求可能會讓您暴露在風險中。
威脅環境瞬息萬變。目前的當務之急是在這些漏洞成為下一個重大資安新聞頭條之前將其封堵。不要等待幾週後的維護窗口——請將這些更新列為最高優先事項。密切關注官方管道,保持日誌清潔,並且在未根據這些新修補程式進行驗證之前,不要假設您目前的設定是「足夠安全」的。
資安是一場貓捉老鼠的持久戰,而現在,老鼠已經搶佔了先機。請務必部署這些修補程式並清除連線緩衝區。