此篇文章報導了荷蘭國家資安中心(NCSC)針對 Citrix NetScaler 的重大安全漏洞 CVE-2025-6543 發出的警告,並揭示了該漏洞被駭客實際利用的情況。文章指出,這項漏洞屬於記憶體溢位問題,可能導致受影響設備的非預期控制流程或拒絕服務(DoS)狀態。更令人擔憂的是,駭客已利用此漏洞成功入侵荷蘭多個關鍵組織,甚至在入侵後主動清除痕跡,造成零時差(zero-day)攻擊的嚴重風險。
作者詳細說明了漏洞的影響範圍。Citrix 的資安公告指出,當 NetScaler ADC 和 NetScaler Gateway 被配置為閘道(包含 VPN 虛擬伺服器、ICA 代理、CVPN、RDP 代理)或 AAA 虛擬伺服器時,該漏洞可能觸發非預期控制流程及拒絕服務攻擊。受影響的版本包括 NetScaler 14.1 低於 14.1-47.46、13.1 低於 13.1-59.19,以及 13.1-FIPS 和 13.1-NDcPP 低於 13.1-37.236 的系統,而 12.1 與 13.0 版本已停止支援,無修補程式提供,因此建議升級至最新版本以降低風險。
特別指出,雖然該漏洞最初被認為主要用於分散式阻斷服務(DDoS)攻擊,但荷蘭國家資安中心警告顯示,駭客已經將其用於遠端程式碼執行(RCE),入侵多個組織系統,並刻意清除痕跡以掩蓋攻擊行為。這些攻擊至少從今年 5 月初就已開始,遠早於 Citrix 在 6 月 25 日發布安全公告的時間,也就是說這個漏洞作為零時差漏洞已被長時間惡意利用。文章中提到,雖然未公開受影響的所有組織名稱,但荷蘭公共檢察署(Openbaar Ministerie,OM)於 7 月 18 日披露曾遭入侵,並表示是在收到國家資安中心警報後才確認問題。該機關因此經歷嚴重營運中斷,電子郵件系統也直到近期才恢復運作。
針對防護與緩解措施提供了具體建議。受影響的系統應立即更新至安全版本,包括 NetScaler ADC 與 Gateway 14.1-47.46 以上、13.1-59.19 以上,以及 ADC 13.1-FIPS 與 13.1-NDcPP 13.1-37.236 以上版本。更新完成後,必須透過以下指令終止所有現存連線,以防止殘留風險:
- kill icaconnection -all
- kill pcoipConnection -all
- kill aaa session -all
- kill rdp connection -all
- clear lb persistentSessions
此外,文章提醒,先前的 Citrix Bleed 2 漏洞(CVE-2025-5777)也曾被駭客主動利用,現行的緩解措施同樣適用於該漏洞。系統管理員應檢查入侵跡象,例如檔案建立日期異常、重複檔案或 PHP 檔案缺失。為協助防護,荷蘭國家資安中心也在 GitHub 提供了檢測工具,用於掃描設備中可疑 PHP 或 XHTML 檔案,並識別其他入侵指標(IOCs)。
最後強調,CVE-2025-6543 事件再度提醒組織,零時差漏洞的危害極大,駭客可長時間悄悄滲透系統,而及時更新與周全監控是防止重大資安事件發生的關鍵。它不僅是一次單純的漏洞警告,更是對關鍵基礎設施安全防護的一次深刻警示。
閱讀完整文章: https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12131
