CitrixBleed 關鍵漏洞遭積極利用,NetScaler Gateway 需緊急修補
TL;DR
CitrixBleed 關鍵漏洞遭積極利用,NetScaler Gateway 需緊急修補
如果您正在使用 Citrix NetScaler ADC 或 Gateway 設備,請立刻停下手邊的工作,檢查您的修補程式紀錄。現在就檢查。我們正面臨 CVE-2026-8451 與舊有但同樣危險的 CVE-2025-5777 這兩項漏洞的夾擊,威脅行為者目前正積極利用這些漏洞。這不僅僅是理論上的風險;它們正被用於繞過身份驗證並劫持會話,美國網路安全與基礎設施安全局 (CISA) 已將其列入「已知被利用漏洞」(KEV) 目錄中。
問題的核心在於這些設備的記憶體洩漏問題。未經身份驗證的攻擊者可以直接從記憶體中竊取敏感資料,例如會話權杖 (session tokens)、MFA 憑證等。他們不需要密碼,也不需要邀請,只需要觸發正確的端點,設備就會交出存取權限。
漏洞剖析:CVE-2025-5777 與 CVE-2026-8451
我們先談談「CitrixBleed 2」或稱 CVE-2025-5777。這個漏洞之所以棘手,是因為它非常簡單。攻擊者只需向 /p/u/doAuthentication.do 發送一個格式錯誤且不完整的 POST 請求,每次請求即可從記憶體中竊取 127 位元組的資料。這聽起來不多,但足以竊取 SAML StateContext 和活動會話權杖。Splunk Research 自 2025 年 6 月中旬以來一直在追蹤此漏洞,並指出攻擊者正使用 HeadlessChrome 等自動化腳本進行大規模攻擊。
接著是較新的頭痛問題:CVE-2026-8451。這是一個預先身份驗證的記憶體過度讀取 (memory-overread) 漏洞,CVSS 評分為 8.8。它針對 SAML 解析器,特別是針對 NSC_TASS Cookie 進行攻擊。正如 Tech Insider 所指出的,該漏洞的武器化速度極快,漏洞在 2026 年 6 月 30 日公開後,蜜罐系統在 24 小時內就偵測到了攻擊嘗試。
影響與緩解:您需要做什麼
由於這些漏洞在身份驗證「之前」就會觸發,因此標準的邊界防禦措施基本上無效。您無法僅靠防火牆解決此問題。以下是威脅分析:
| 漏洞 ID | 主要攻擊向量 | 影響 |
|---|---|---|
| CVE-2025-5777 | /p/u/doAuthentication.do |
會話權杖/MFA 竊取 |
| CVE-2026-8451 | SAML 解析器 (NSC_TASS) | 記憶體過度讀取/資料洩漏 |
若要防止您的網路遭到入侵,必須採取快速行動。以下是您的檢查清單:
- 立即修補: 不要等到週末。請部署 Citrix 在 2026 年 6 月 30 日發布的緊急更新。這沒有妥協空間;若未修補,您就處於危險之中。
- 終止會話: 這是人們最容易忽略的部分。即使修補了漏洞,攻擊者可能已經利用竊取的權杖進入系統。您必須全域終止所有活動會話,以清除任何未經授權的存取。
- 搜尋異常活動: 使用 Splunk Research 的網路監控指南 來尋找這些漏洞留下的特定遙測數據。
- 稽核日誌: 檢查是否有不完整的 POST 請求或異常巨大的 HTTP 回應。這些都是記憶體過度讀取攻擊正在進行的跡象。
升級週期
我們以前見過這種情況。安全研究人員自 2026 年初以來一直警告,NetScaler 漏洞是大規模攻擊浪潮的警訊。一旦概念驗證 (PoC) 在網路上流傳,攻擊就會隨之而來,將「關鍵漏洞」一夜之間變成「全面性事件」。
CISA 將這些漏洞列入名單,對聯邦和私營部門來說都是一個巨大的警訊。沒有任何「變通方法」可以在不冒險的情況下維持系統運作。您必須修補。如果不修補,您就是為攻擊者敞開大門,讓他們繞過 MFA 並在您的網路中保持持久的立足點。
如果您懷疑自己已經遭到攻擊,請不要驚慌,保持冷靜並採取系統性作法。Splunk Research 的網頁偵測指南 是識別這些攻擊中使用的特定 HTTP 請求結構的絕佳資源。將該數據輸入您的 SIEM 並檢查是否有異常情況。
歸根結底,這些設備是您最敏感資源的前門。當門鎖壞了,您不能只是貼上一張「請勿進入」的告示,您必須修理鎖頭。修補是關閉大門的唯一方法,而會話失效則是確保將入侵者踢出門外的唯一途徑。請保持警惕,隨時更新,在確認修補程式生效且會話已終止之前,請勿假設自己是安全的。