安全研究員 Kevin Beaumont 披露了有關 CVE-2025-6543 的驚人細節，這是一個嚴重的 Citrix NetScaler 漏洞，在該公司發布補丁之前的幾個月里，該漏洞被積極利用作為零日攻擊。

Citrix 最初將其輕描淡寫為簡單的“拒絕服務”漏洞，但事實證明這是一個復雜的遠程代碼執行漏洞，危害了全球的政府和法律服務。

零日攻擊活動襲擊全球基礎設施

根據荷蘭 NCSC 的調查，該漏洞至少自 2025 年 5 月初以來就一直被積極利用，該漏洞允許攻擊者通過內存溢出攻擊實現遠程代碼執行。

Citrix 于 2025 年 6 月 25 日才發布補丁，這意味著在漏洞被公眾知曉之前，威脅行為者有數月的時間利用未修補的系統。

主要攻擊特征包括：

• /cgi/api/login惡意客戶端證書通過數百個 POST 請求發送到 NetScaler 端點。
• 內存溢出攻擊旨在覆蓋內存塊并執行任意代碼。
• 部署持久的 Webshel??l 和后門，即使修補后仍保持活動狀態。
• 主動消除攻擊痕跡，使法醫調查變得復雜。
• 同時利用多個 Citrix 漏洞，包括 CVE-2025-5777（CitrixBleed 2
  ）。

攻擊方法包括通過數百個 POST 請求向 NetScaler 端點發送惡意客戶端證書，/cgi/api/login旨在覆蓋內存塊并執行任意代碼。

尤其令人擔憂的是，攻擊者一直在部署持久的 Webshel??l 和后門，這些 Webshel??l 和后門即使在修補后仍然保持活躍，確保可以繼續訪問受感染的網絡。

NCSC 荷蘭報告稱“荷蘭境內的幾個重要組織已成功遭到攻擊”，法醫調查顯示，攻擊者主動抹去其活動痕跡，以使事件響應工作復雜化。

相同的威脅行為者似乎同時利用多個 Citrix 漏洞，包括 CVE-2025-5777（CitrixBleed 2）來竊取用戶會話并繞過多因素身份驗證。

影響廣泛，應對不力

此次活動的范圍遠遠超出了最初的估計，世界各地的政府機構、法律服務機構和關鍵基礎設施組織都成為這些攻擊的受害者。

受感染的系統已被用作橫向移動到 Active Directory 環境的啟動點，攻擊者濫用 LDAP 服務帳戶憑據來擴展其網絡訪問權限。

影響評估顯示：

• 全球范圍內的政府機構、法律服務機構和關鍵基礎設施組織均受到威脅。
• 使用竊取的 LDAP 服務帳戶憑據橫向進入 Active Directory 環境。
• 由于安全問題，自 2023 年底以來，面向互聯網的?NetScaler 設備數量減少了一半。
• 客戶越來越依賴政府機構而不是 Citrix 來獲取威脅情報。
• 對向 Citrix 請求檢測腳本的客戶施加了限制性條件。

Citrix 的危機應對措施招致了安全專家的尖銳批評。該公司僅在客戶提出請求并附加限制條件的情況下才向客戶提供檢測腳本，卻未能告知漏洞的真實嚴重性和影響范圍。

缺乏透明度導致客戶無法正確評估其受損狀況或實施足夠的防御措施。

Shodan 的安全遙測表明，自 2023 年底以來，面向互聯網的 NetScaler 設備數量減少了一半，這表明組織由于持續的安全問題正在放棄該平臺。

情況變得如此嚴重，以至于客戶越來越依賴政府網絡安全機構和獨立研究人員而不是 Citrix 本身來獲取準確的威脅情報。

NetScaler 用戶的緊急行動

運行 Citrix NetScaler 系統的組織需要立即采取行動來保護其基礎設施。

安全專家建議檢查 Web 訪問日志中是否存在對/cgi/api/login端點的可疑 POST 請求，特別是那些伴有錯誤代碼 1245184 的請求，這表明客戶端證書無效。

關鍵應對措施包括：

• 檢查 Web 訪問日志中是否存在對/cgi/api/login端點的可疑 POST 請求。
• 在 NetScaler 日志中查找表示客戶端證書無效的錯誤代碼 1245184。
• 如果懷疑受到威脅，請立即關閉受影響的 NetScaler 設備。
• 使用 GitHub 上提供的 NCSC 荷蘭檢測腳本進行法醫成像。
• 更改所有相關的 LDAP 服務帳戶憑據。
• 使用新的憑證部署替換系統而不是嘗試修復。

NCSC 荷蘭已在 GitHub 上發布了全面的檢測腳本和取證工具，以幫助組織識別泄露指標并進行適當的事件響應。

發現漏洞跡象的組織應立即關閉受影響的 NetScaler 設備，進行取證成像，更改所有相關的 LDAP 服務帳戶憑據，并使用新的憑據部署替換系統。

此次危機凸顯了 NetScaler 安全更廣泛的系統性問題，因為該平臺近幾個月來遭受了多次零日漏洞攻擊。

由于威脅行為者“定期圍繞產品進行攻擊”且 Citrix 未能提供足夠的透明度，組織可能需要考慮替代的遠程訪問解決方案來保護其關鍵基礎設施免受持續攻擊。