6月17日Citrix發布資安公告,修補NetScaler ADC與NetScaler Gateway重大漏洞CVE-2025-5777(4.0版CVSS風險評為9.3),後續資安研究員Kevin Beaumont警告此漏洞相當嚴重,相當於另一個「Citrix Bleed(CVE-2023-4966)」,因而命名為CitrixBleed 2,並認為很可能接下來會引發相關的漏洞利用攻擊,呼籲企業的IT人員要儘速採取行動因應,果不其然,很快就有疑似漏洞利用的情況發生。
資安業者ReliaQuest指出,他們發現一系列不尋常的活動,懷疑是有人利用CVE-2025-5777,試圖取得初期的存取管道。
首先,研究人員提及觀察到NetScaler裝置的網路連線階段(Session)遭到挾持,這代表攻擊者在用戶不知情的情況下通過身分驗證,同時繞過多因素驗證(MFA)。同時,他們看到連線階段被多個來源IP位址重覆利用的現象,而且是研究人員預期的或是惡意的IP位址。
再者,駭客也對於受害組織的網路環境進行偵察。研究人員看到對方透過LDAP查詢來偵察AD環境,並利用名為ADExplorer64.exe的工具進行調查,掌握網域層級的群組、權限,以及連線的網域控制器。
附帶一提的是,建立Citrix連線階段的源頭是資料中心代管的IP位址,且與線上程式語言學習平臺DataCamp有關。研究人員推測,攻擊者運用了個人版的VPN服務來隱匿行蹤。
ReliaQuest提及,CVE-2025-5777與CVE-2023–4966兩個漏洞的本質大致相同,都能讓攻擊者從記憶體截取身分驗證資料,從而挾持連線階段並繞過多因素驗證,但相較於前一代Citrix Bleed漏洞可被用於挾持Cookie,CVE-2025-5777能讓攻擊者挾持憑證(Token)而產生新的風險,原因是Token通常運用的範圍涵蓋身分驗證框架,如API呼叫或是應用程式的連線階段。
這代表攻擊者若能利用CVE-2025-5777,將有可能在不被偵測的情況下長時間存取受害組織的網路環境,即便用戶察覺有異而終止連線階段,也難以阻絕攻擊者的存取管道。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
