sentinel-aidefense/CVE-2025-5777

GitHub: sentinel-aidefense/CVE-2025-5777

针对 Citrix NetScaler CVE-2025-5777(CitrixBleed 2)越界读取漏洞的防御性分析资料库,提供根因剖析、检测规则、攻陷指标和缓解指南。

Stars: 0 | Forks: 0

# CVE-2025-5777 — Citrix NetScaler "CitrixBleed 2" 内存泄露 [![CVE](https://img.shields.io/badge/CVE-2025--5777-red.svg)](https://www.cve.org/CVERecord?id=CVE-2025-5777) [![CVSS](https://img.shields.io/badge/CVSS-9.3%20Critical-darkred.svg)](https://nvd.nist.gov/vuln/detail/CVE-2025-5777) [![CWE](https://img.shields.io/badge/CWE-125%20%2F%20457-blue.svg)](https://cwe.mitre.org/data/definitions/125.html) [![CISA KEV](https://img.shields.io/badge/CISA-KEV%202025--07--10-darkred.svg)](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) [![Status](https://img.shields.io/badge/exploited-in%20the%20wild-critical.svg)](#) 最初的 CitrixBleed 的后续版本:NetScaler ADC/Gateway 身份验证 端点上存在越界读取漏洞,该漏洞会直接在 HTTP 响应中向未经身份验证的攻击者返回服务器内存片段 —— 包括会话 token。 📄 完整分析报告:https://sentinelaidefense.com/posts/cve-2025-5777-citrixbleed-2.html ## 概述 CVE-2025-5777(通常被称为 **CitrixBleed 2**)是 Citrix NetScaler ADC 和 NetScaler Gateway 中的一个越界读取漏洞 (CWE-125 / CWE-457)。它是由于在处理发往身份验证端点的特制 HTTP 请求时输入验证不足造成的。这允许 未经身份验证的远程攻击者泄露服务器内存片段,包括会话 token(例如 `NSC_AAAC` cookie)等敏感数据。 该漏洞是最初的 CitrixBleed(**CVE-2023-4966**)的后续漏洞。利用该漏洞可实现会话劫持和绕过 MFA,且无需 进一步的交互。CVSS v3/v4 评分:**9.3(严重)**。它已于 **2025 年 7 月 10 日**被添加到 CISA KEV 目录中。 ## 受影响版本 当配置为 Gateway(VPN 虚拟服务器、ICA Proxy、CVPN、RDP Proxy)或 AAA 虚拟 服务器时容易受到攻击: - NetScaler ADC / Gateway 14.1 **14.1-43.56** 之前的版本 - 13.1 **13.1-58.32** 之前的版本 - 13.1-FIPS 和 NDcPP **13.1-37.235** 之前的版本 - 12.1-FIPS **12.1-55.328** 之前的版本 - EOL 版本 12.1 和 13.0 修复版本自 **2025 年 6 月 17 日**起发布(并在 6 月下旬 / 7 月上旬进行了更新)。 ## 技术分析(根本原因) 该漏洞存在于身份验证请求处理程序中(尤其是 `/p/u/doAuthentication.do` 端点)。当处理带有格式错误参数的 HTTP POST 请求时(例如,存在 `login` 但 没有正确的值或等号),后端 C 代码会跳过对栈缓冲区的正确初始化。 因此,响应(通常在 XML `` 标签中)会反映出先前操作遗留下来的 **约 127 字节**的未初始化栈内存。重复请求会产生不同的内存 片段。这是一个典型的由于缺少边界检查和缓冲区清零而导致的未初始化变量使用结合越界读取 的案例。 无需身份验证或复杂的交互——泄露发生在**身份验证之前**。 ## 攻击链 1. 攻击者向易受攻击的身份验证端点发送带有格式错误 参数的特制 HTTP POST 请求。 2. 服务器返回泄露的内存块,其中包含会话 token、凭据或其他内存 数据。 3. 攻击者重放有效的会话 cookie(例如 `NSC_AAAC`)以劫持活动的 VPN/Gateway 会话, 通常会绕过 MFA。 4. 进一步访问内部网络或进行横向移动。 早在 **2025 年 6 月 23 日**(即 7 月 4 日公开 PoC 之前)就观察到了在野利用。 GreyNoise、Amazon MadPot 等已确认了针对性的扫描和 APT 活动(包括零日漏洞利用)。 ## 检测指南 - 监控发往 `/p/u/doAuthentication.do`(或类似身份验证端点)的异常 POST 请求,特别是带有 格式错误参数(缺失值、异常的 header/body 结构)的情况。 - 查找来自同一来源的重复请求且返回内容不同的情况(内存泄露 特征)。 - 检测在 Gateway/VPN 门户上提取的 `NSC_AAAC` cookie 的使用情况或异常会话 活动。 - 网络层面:在 `` 标签中包含类二进制数据的意外 XML 响应。 - NetScaler 上用于检测异常身份验证失败或与内存相关的异常的端点 日志。 针对该请求模式的 YARA 规则和 Snort/Suricata 特征码可从研究 出版物中获取。 ## 攻陷指标 - 发往 `/p/u/doAuthentication.do` 的特定请求模式,且带有类似 `login` 的参数(没有 值)。 - 与早期漏洞利用相关联的源 IP(来自与中国有关联的基础设施的初期波次)。 - 以 `NSC_AAAC=` 开头的泄露会话 cookie。 - 2025 年 7 月 4 日之后对 CitrixBleed 2 工具/PoC 的引用。 请查阅 Citrix 安全公告和 CISA 警报以获取完整、最新的 IoC 列表。 ## 缓解措施 - **立即打补丁**,更新至 Citrix 安全通告中列出的已修复版本(没有有效的变通 方案)。 - 尽可能限制 NetScaler Gateway/AAA 接口的公开暴露(例如,通过 WAF、 地理封锁或 VPN 前端)。 - 对身份验证端点启用严格的日志记录和监控。 - 轮换/撤销可能被泄露的会话,并强制执行短暂的会话生存期。 - 遵循 Citrix 的建议禁用不必要的功能(例如,限制 Gateway 配置)。 由于其易于利用且对远程访问 基础设施具有直接影响,请将其视为高优先级事项处理。 ## 参考 - CVE-2025-5777 的 Citrix 安全公告 - NVD:https://nvd.nist.gov/vuln/detail/CVE-2025-5777 - CISA 已知被利用漏洞目录(2025-07-10 添加) ## 免责声明 本仓库仅出于**防御和教育目的**发布。它包含分析、 检测逻辑和缓解指南。不提供任何功能性的漏洞利用代码。仅在您 有权测试和防御的系统上使用此信息。 Sentinel AI Defense 维护 · 研究结果在协调披露机制下负责任地共享。
标签:Citrix NetScaler, CVE-2025-5777, Metaprompt, Modbus, StruQ, 内存泄露, 越界读取