据网络安全公司 ReliaQuest 称，NetScaler ADC 和网关的一个关键漏洞 "Citrix Bleed 2"（CVE-2025-5777）现在很可能被利用在攻击中，Citrix 设备上的可疑会话有所增加。

Citrix Bleed 2，由网络安全研究员 Kevin Beaumont 命名，因为它与最初的 Citrix Bleed （CVE-2023-4966）相似，是一个内存读取漏洞，允许未经身份验证的攻击者访问通常不可访问的内存部分。

这可能允许攻击者从面向公众的网关和虚拟服务器窃取会话令牌、凭据和其他敏感数据，使他们能够劫持用户会话并绕过多因素身份验证（MFA）。

Citrix 的顾问也确认了这一风险，提醒用户安装安全更新以阻止访问任何被劫持的会话后，结束所有 ICA 和 PCoIP 会话。

该漏洞被追踪为 CVE-2025-5777，Citrix 于 2025 年 6 月 17 日解决了该漏洞，没有任何活跃利用的报告。然而，Beaumont 警告说上周存在被利用的可能性较高。

研究人员的担忧似乎是有根据的，因为 ReliaQuest 表示，CVE-2025-5777 已经被用于有针对性的攻击。

虽然没有公开利用 CVE-2025-5777（被称为 "Citrix Bleed 2"）的报道，但 ReliaQuest 认为，攻击者正在积极利用这一漏洞，获得对目标环境的初始访问权限。

这一结论是基于对最近实际攻击的以下观察得出的：

·被劫持的 Citrix web 会话在没有用户交互的情况下被授予身份验证，这表明攻击者使用被盗的会话令牌绕过了 MFA。

·攻击者在合法和可疑的 IP 地址上重复使用相同的 Citrix 会话，这表明会话劫持和从未经授权的来源重播。

·LDAP 查询是在访问后发起的，这表明攻击者执行了 Active Directory 侦察来映射用户、组和权限。

·adeexplorer64 .exe 的多个实例跨系统运行，表明协调的域侦察和对各种域控制器的连接尝试。

·Citrix 会话起源于与消费者 VPN 提供商（如 DataCamp）相关的数据中心 ip，这表明攻击者通过匿名基础设施进行混淆。

上述情况与未经授权访问 Citrix 后的开发活动一致，强化了 CVE-2025-5777 正在被利用的评估。

为了防止这种活动，可能受到影响的用户应该升级到 14.1-43.56+、13.1-58.32+ 或 13.1-FIPS/NDcPP 13.1-37.235+ 版本来修复漏洞。

在安装最新固件后，管理员应该终止所有活动的 ICA 和 PCoIP 会话，因为它们可能已经被劫持了。

在终止活动会话之前，管理员应该首先使用 show icconnection 命令和 NetScaler Gateway > PCoIP > Connections 检查它们是否存在可疑活动。在检查活动会话后，管理员可以使用以下命令终止它们：终止所有连接、终止 pcoipconnection -all。如果无法立即安装安全更新，建议通过网络 acl 或防火墙规则限制外部对 NetScaler 的访问。

在被问到关于 CVE-2025-5777 是否被积极利用的问题时，Citrix 表示没有发现任何利用的迹象。然而，另一个 Citrix 漏洞，跟踪为 CVE-2025-6543，正在攻击中被利用，导致 NetScaler 设备上的拒绝服务条件。Citrix 表示，这个漏洞和 CVE-2025-5777 漏洞在同一个模块中，但是不同的漏洞。