FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

漏洞概况

Citrix NetScaler产品中被标记为CVE-2025-6543的关键零日漏洞自2025年5月起就遭到攻击者利用，比官方补丁发布提前了数月。尽管Citrix最初将该漏洞轻描淡写为"导致意外控制流和拒绝服务的内存溢出漏洞"，但后续证实其可实现未经认证的远程代码执行（RCE），已造成全球政府及法律服务机构的大规模入侵。

2025年6月下旬，Citrix发布了CVE-2025-6543的补丁。但此时攻击者已利用该漏洞活动数周，通过入侵NetScaler远程访问系统、部署网页木马维持持久访问权限，并窃取凭证信息。安全专家Kevin Beaumont指出，证据表明Citrix早已知晓漏洞严重性和持续利用情况，却未向客户充分披露威胁细节。

攻击溯源

荷兰国家网络安全中心（NCSC）在揭露攻击真相中发挥了关键作用。其2025年8月发布的调查报告确认，该漏洞作为零日漏洞被利用，攻击者精心掩盖痕迹增加了取证难度。报告明确指出："荷兰境内多个关键机构已遭成功入侵"，漏洞利用活动至少可追溯至2025年5月初。

技术机理

经分析，同一高级威胁组织还涉嫌利用另一个被称为CitrixBleed 2的零日漏洞（CVE-2025-5777）窃取用户会话，目前正在调查该组织是否与更新漏洞CVE-2025-7775的利用有关。

CVE-2025-6543漏洞允许攻击者通过向存在漏洞的NetScaler设备的/cgi/api/login接口提交恶意客户端证书来覆盖系统内存。通过发送数百次此类请求，攻击者可覆盖足够内存空间实现任意代码执行，进而利用窃取的LDAP服务账户凭证横向渗透至Active Directory环境。

应急建议

安全专家强烈建议所有使用互联网暴露Citrix NetScaler设备的组织立即采取行动。系统管理员应重点检查以下入侵迹象：

• 网络访问日志中出现短时间内大量发往/cgi/api/login的POST请求
• NetScaler日志中出现1245184错误代码（表示无效客户端证书）

NCSC已在GitHub发布检测脚本，可帮助组织检查在线主机和内存转储文件中的入侵痕迹。若确认系统遭入侵，建议采取以下措施：

1. 立即下线受影响的NetScaler设备
2. 对系统进行镜像取证
3. 更换LDAP服务账户凭证阻断横向移动
4. 使用全新凭证部署已打补丁的NetScaler实例

美国网络安全和基础设施安全局（CISA）已将CVE-2025-6543列入已知被利用漏洞（KEV）目录，凸显了企业应用补丁和排查恶意活动的紧迫性。

参考来源：

Critical Citrix 0-Day Vulnerability Exploited Since May, Leaving Global Entities Exposed

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）