CitrixBleed2漏洞可能引發記憶體資料外洩風險

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心近期Citrix發布二項嚴重資安漏洞公告，分別為CVE-2025-5777（CVSS 4.x：9.3）與CVE-2025-6543（CVSS 4.x：9.2），並已釋出修補程式以應對攻擊威脅，這二個漏洞主要影響Citrix NetScaler ADC 與 Gateway設備，特別是版本13.1及14.1以下。 此外，部分受影響的NetScaler版本已達生命週期終止（EoL），建議用戶儘速升級至支援版本以確保安全，因漏洞涉及記憶體溢位與記憶體越界，攻擊者可能藉此取得系統記憶體中的敏感資料，如使用者登入憑證、有效的Session Token以及記憶體中處理的HTTP請求內容等，攻擊者可能繞過多因子驗證機制，造成嚴重的資料外洩風險。 美國網路安全暨基礎設施安全局（CISA）已於7月10日和6月30日將這二個漏洞納入已知利用漏洞（KEV）目錄，提醒企業與政府機關優先修補，並加強監控異常存取行為。 研究人員建議除了立即套用官方修補程式外，還應註銷現有Citrix Session Token、更換登入密碼，並部署Web應用防火牆（WAF）以阻擋未經授權的請求，降低被攻擊風險。 CVE-2025-5777漏洞源於Citrix處理登入請求的「/p/u/doAuthentication.do」端點使用錯誤snprintf寫法，導致login欄位未進行正確的初始化，造成記憶體溢位並回傳堆疊中殘留資料，進而引發資料洩漏。 由於格式字串為「%.*s」，因此每次洩漏的資料皆不同，攻擊者若持續嘗試多次並拼湊這些記憶體內容，便能逐步還原更多敏感資訊，如圖1所示。 圖1：Labs研究人員針對CVE-2025-5777之實驗結果。 圖片來源：Labs 值得注意的是，CVE-2025-5777被稱為「CitrixBleed 2」，與2023年爆發的CitrixBleed漏洞（CVE-2023-4966，CVSS 3.x：9.4）類似，該漏洞曾被勒索團體利用，且已有公開可利用程式碼，意味著可能攻擊已在進行中，企業必須迅速行動以防止資安事件擴大，以下是根據這次漏洞公告的建議和防護措施： 1. 強制登出所有現有的Session，避免被舊憑證劫持 2. 盤點現有使用的Citrix設備版本與配置，確認是否受影響 3. 持續關注廠商公告，確保組織可在第一時間進行更新 4. 部署入侵防禦系統（IDS/IPS）及Web應用防火牆（WAF），攔截異常請求 5. 加強內部監控與異常行為分析，及早發現攻擊跡象 由於PoC已公開且漏洞已被證實積極利用，企業必須儘速採取更新行動。 此外，資安防護的第一步是清楚掌握企業內部所有設備的狀態與版本，並持續追蹤廠商的安全更新與公告，必免因疏忽而成為攻擊目標。近期Citrix發布二項嚴重資安漏洞公告，分別為CVE-2025-5777（CVSS 4.x：9.3）與CVE-2025-6543（CVSS 4.x：9.2），並已釋出修補程式以應對攻擊威脅，這二個漏洞主要影響Citrix NetScaler ADC 與 Gateway設備，特別是版本13.1及14.1以下。 此外，部分受影響的NetScaler版本已達生命週期終止（EoL），建議用戶儘速升級至支援版本以確保安全，因漏洞涉及記憶體溢位與記憶體越界，攻擊者可能藉此取得系統記憶體中的敏感資料，如使用者登入憑證、有效的Session Token以及記憶體中處理的HTTP請求內容等，攻擊者可能繞過多因子驗證機制，造成嚴重的資料外洩風險。 美國網路安全暨基礎設施安全局（CISA）已於7月10日和6月30日將這二個漏洞納入已知利用漏洞（KEV）目錄，提醒企業與政府機關優先修補，並加強監控異常存取行為。 研究人員建議除了立即套用官方修補程式外，還應註銷現有Citrix Session Token、更換登入密碼，並部署Web應用防火牆（WAF）以阻擋未經授權的請求，降低被攻擊風險。 CVE-2025-5777漏洞源於Citrix處理登入請求的「/p/u/doAuthentication.do」端點使用錯誤snprintf寫法，導致login欄位未進行正確的初始化，造成記憶體溢位並回傳堆疊中殘留資料，進而引發資料洩漏。 由於格式字串為「%.*s」，因此每次洩漏的資料皆不同，攻擊者若持續嘗試多次並拼湊這些記憶體內容，便能逐步還原更多敏感資訊，如圖1所示。 圖1：Labs研究人員針對CVE-2025-5777之實驗結果。 圖片來源：Labs 值得注意的是，CVE-2025-5777被稱為「CitrixBleed 2」，與2023年爆發的CitrixBleed漏洞（CVE-2023-4966，CVSS 3.x：9.4）類似，該漏洞曾被勒索團體利用，且已有公開可利用程式碼，意味著可能攻擊已在進行中，企業必須迅速行動以防止資安事件擴大，以下是根據這次漏洞公告的建議和防護措施： 1. 強制登出所有現有的Session，避免被舊憑證劫持 2. 盤點現有使用的Citrix設備版本與配置，確認是否受影響 3. 持續關注廠商公告，確保組織可在第一時間進行更新 4. 部署入侵防禦系統（IDS/IPS）及Web應用防火牆（WAF），攔截異常請求 5. 加強內部監控與異常行為分析，及早發現攻擊跡象 由於PoC已公開且漏洞已被證實積極利用，企業必須儘速採取更新行動。 此外，資安防護的第一步是清楚掌握企業內部所有設備的狀態與版本，並持續追蹤廠商的安全更新與公告，必免因疏忽而成為攻擊目標。 See more: https://www.twcert.org.tw/tw/cp-104-10283-1e134-1.html