CVE-2025-6543 深度漏洞分析:NetScaler ADC/Gateway 内存溢出与未授权代码执行风险

qife122
5 阅读9分钟

产品: Citrix NetScaler ADC & NetScaler Gateway(配置为 Gateway / AAA 虚拟服务器)

严重性: 高危 — CVSS v4.0 (CNA) 9.2;CVSS v3.1 (NVD) 9.8

类型: 内存溢出 → 非预期控制流、DoS、高危代码执行风险

状态: 已遭在野利用(披露前为零日)

可用补丁版本: 是(见补丁矩阵)

来源: Citrix/NetScaler, NVD, CISA KEV, Rapid7, Tenable, NCSC-NL, THN

概述

  • 是什么: NetScaler ADC/Gateway 在配置为 Gateway(VPN/ICA/CVPN/RDP)或 AAA 虚拟服务器时存在内存溢出漏洞。厂商将其影响描述为“非预期控制流”和 DoS。NVD v3.1 向量(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)对应 9.8 高危。

  • 利用情况: 披露前已在野外被利用;于 2025 年 6 月 30 日加入 CISA KEV。国家 CSIRT 报告显示关键组织被入侵,并发现取证痕迹清除及 Web Shell。

  • 风险: 真实环境下很可能是未认证 RCE(基于研究社区对“非预期控制流”和高 CIA 影响的分析)。应按 RCE 级风险处理。

  • 修复: 立即升级到厂商修复版本;没有可“修复”此漏洞的缓解措施或 WAF 签名。EOL 的 12.1 和 13.0 版本仍存在漏洞。

  • 打补丁后: 若补丁前曾暴露于互联网,假定已被入侵。执行入侵检测检查,轮换凭据,必要时重建。

1) 什么是 CVE-2025-6543?

CVE-2025-6543 是 NetScaler ADC/Gateway 中的内存溢出漏洞,当设备配置为 Gateway(VPN 虚拟服务器、ICA Proxy、CVPN、RDP Proxy)或 AAA 虚拟服务器时可以被利用。该溢出可导致非预期控制流和拒绝服务;由于其影响特征和攻击向量,主要厂商及研究人员均以 RCE 级别紧迫性对待。

  • CVSS: CNA (Citrix) 分配 v4.0 = 9.2;NVD v3.1 向量显示对机密性/完整性/可用性的关键影响。
  • 利用情况: Citrix/NetScaler 确认未修补设备上存在利用;CISA 于 2025 年 6 月 30 日将其加入 KEV。国家报告 (NCSC-NL) 确认自 5 月初以来的零日使用,并发现痕迹擦除及 Web Shell。

2) 受影响产品与补丁矩阵

当配置为 Gateway 或 AAA 时受影响:

  • NetScaler ADC & Gateway 14.1 低于 14.1-47.46 → 更新到 14.1-47.46+
  • NetScaler ADC & Gateway 13.1 低于 13.1-59.19 → 更新到 13.1-59.19+
  • NetScaler ADC 13.1-FIPS / 13.1-NDcPP 低于 13.1-37.236 → 联系 NetScaler 支持获取修复版本
  • 12.1 和 13.0 已 EOL 且存在漏洞(无修复)

注意:12.1-FIPS 不受影响(根据 Citrix 公告)。

除升级外无其他解决方案/缓解措施;WAF 签名无法修复。

3) 为什么此漏洞重要(业务与技术风险)

  • 互联网暴露的边缘: ADC/Gateway 设备通常位于关键应用和远程访问前端;被入侵可绕过边界并向内横向移动。
  • 利用现实: 尽管简短描述中提及“DoS”,但“非预期控制流”+ 关键的 CIA 影响与代码执行风险一致。Rapid7 等将其视为可能的未认证 RCE;NCSC-NL 报告利用后存在 Web Shell。
  • 零日驻留时间: 攻击先于披露发生;攻击者据报清除了痕迹,使事件时间线和真实暴露范围复杂化。
  • 合规/监管: 被列入 CISA KEV 后,美国 FCEB 机构面临修复截止期限,并提高了各行业的尽职调查标准。

4) 暴露场景(高层级)

仅防御性概述 — 不含利用细节。

  • 启用 Gateway/AAA 并暴露于互联网
  • 使用上述未修补版本
  • 对设备日志和文件完整性监控薄弱(遗漏异常的 PHP/Web 内容痕迹)
  • 若升级前已被入侵,会话持久性和凭据重用会导致补丁后仍持久化

5) 检测与威胁狩猎(安全、防御方视角)

运行官方社区检查
使用 NCSC-NL 发布的检查脚本来检查核心转储和镜像中的 IoC。这些脚本由国家级权威积极更新并推荐。

日志审查(指标/异常)
调查异常认证/AAA 事件、登录失败激增、意外的 Gateway 错误、突然的系统崩溃/重启。检查 NetScaler 系统文件夹中意外的 PHP 类痕迹(异常时间戳、不同扩展名的重复名称)。

账户与会话卫生
升级后,依据国家级指南终止未完成的会话(AAA/RDP/LB 持久化),以驱逐可能被劫持的状态。

文件完整性监控
使用 NetScaler Console 的文件完整性功能(厂商近期强调)发现对构建文件的未授权更改。

如果发现入侵证据,优先进行取证镜像和凭据轮换(尤其是 NetScaler 使用的任何 LDAP 服务账户)。考虑从可信介质重建设备。

6) 立即修复计划(优先行动)

优先级 0 — 治理与风险
将 CVE-2025-6543 视为 RCE 级风险,进行高层可见报告。关联到攻击面缩减和零信任计划。

优先级 1 — 补丁/升级(无例外)
立即升级到 14.1-47.46+ 或 13.1-59.19+;对于 13.1-FIPS/NDcPP,通过厂商支持获取 13.1-37.236。EOL(12.1/13.0):立即规划平台升级。无可行缓解措施。

优先级 2 — 若补丁前已暴露则假定受损
执行 NCSC-NL 入侵检查;检查 Web Shell 和异常文件;审查核心转储。更新后终止持久会话;评估 AAA/RDP/LB 持久化清理。轮换:LDAP/IdP 集成凭据、NetScaler 本地管理员账户及设备上缓存的任何令牌。

优先级 3 — 加固与监控
对 Gateway/AAA 功能实施最小权限;限制管理平面;启用文件完整性;集中日志。添加针对异常 Gateway 错误峰值和系统文件夹中新 PHP 痕迹的检测规则。

7) 补丁验证清单

  • 运行版本 ≥14.1-47.46 或 ≥13.1-59.19(或针对 FIPS/NDcPP 的 13.1-37.236)
  • 集群中无 EOL 版本(12.1/13.0)
  • 适用情况下,升级后所有会话已清除;AAA/RDP/LB 持久化已刷新
  • NCSC-NL 脚本已运行;未发现 IoC(或已启动事件流程)
  • 凭据轮换已完成(LDAP/IdP 服务账户、设备管理员)
  • NetScaler Console 中已启用文件完整性监控

8) 事件响应预案(CVE-2025-6543)

阶段 1 — 确认范围
盘点每个 NetScaler 实例;标记启用 Gateway/AAA 功能的实例。提取集中日志、配置快照和核心转储用于分析(取证镜像前不要关机重启)。执行 NCSC-NL 检查;若发现阳性结果则隔离。

阶段 2 — 遏制
在网络层面隔离受影响的 ADC;阻止管理平面来自互联网的访问。如果怀疑受损,用重新镜像且完全修补的实例替换;不要仅依赖就地补丁(Web Shell 可能持续存在)。

阶段 3 — 消除
清除痕迹;轮换凭据(AD/LDAP 绑定账户、本地账户、API 密钥)。使用 NetScaler Console 文件检查验证完整性。

阶段 4 — 恢复
重新引入服务,并收紧 ACL、启用 MFA、隔离管理平面,以及为 NetScaler 异常设置 SIEM 告警。进行复盘以总结教训。

9) FAQ 与细微差别

这真的是 RCE 还是仅仅是 DoS?
厂商措辞强调 DoS 和“非预期控制流”,但 NVD v3.1 向量暗示 CIA 高影响;Rapid7 称其为可能的未认证 RCE,多个国家级公告在受损设备上发现了 Web Shell。按 RCE 类处理。

是否与“CitrixBleed 2”(CVE-2025-5777)相关?
否 — Citrix/NetScaler 表示它们不相关,尽管两者都影响 Gateway/AAA 模块。两者都很严重;请同时修复。

有任何临时缓解措施吗?
没有能消除风险的缓解措施。升级是强制性的;WAF 签名不能修复。

谁必须采取行动?
任何将 NetScaler ADC/Gateway 作为远程访问或 AAA 前门运行的机构 — 尤其是关键基础设施、金融、医疗、政府、法律行业,正如国家报告所提真实入侵案例所示。

10) 链接与参考(精选)

  • Citrix/NetScaler Security Bulletin (CTX694788) — 修复版本、受影响构建、利用说明
  • NetScaler Blog(6 月 26 日;更新)— 无解决方案;通过支持获取 IoC;升级后的 CSP 注意事项
  • NVD Entry — v3.1 向量 9.8;CVSS v4 CNA 9.2;受影响 CPE
  • CISA KEV Alert(6 月 30 日)— 已加入 KEV
  • Rapid7 Analysis — 利用背景;RCE 推理;补丁指导
  • Tenable FAQ — 时间线;与 5777 的关系;修复版本列表;会话指导
  • NCSC-NL Case Page — 自 5 月初的零日;检查脚本;终止会话的命令;Web Shell 说明
  • HackerNews recap — 与 NCSC-NL 发现及修复版本一致

11) CyberDudeBivash 推荐控制措施(纵深防御)

边界与暴露
将 ADC 管理平面置于 VPN 和私有管理网络之后;绝不直接暴露于互联网管理。若必须发布 Gateway/AAA,限制来源(企业 IP 白名单)及地理围栏。

身份与会话
强制执行强 MFA(FIDO2/WebAuthn)、短会话 TTL、设备状态检查及条件访问。在针对此 CVE 进行任何 NetScaler 升级后,清除 AAA/RDP/LB 持久化并让用户重新认证。

遥测与 IR 就绪
集中 NetScaler 日志;告警认证异常和系统文件夹中意外的 PHP 痕迹;在 NetScaler Console 中启用文件完整性。保持取证就绪:时间同步日志、安全的核心转储、已知良好的基线。

平台升级
如果您使用 EOL 12.1/13.0,立即规划迁移到受支持的版本;遗留版本被反复攻击。

12) 补丁矩阵(用于变更工单复制粘贴)

版本受影响版本升级到
14.1 (ADC/GW)< 14.1-47.4614.1-47.46 或更高
13.1 (ADC/GW)< 13.1-59.1913.1-59.19 或更高
13.1-FIPS / NDcPP< 13.1-37.236联系支持获取修复版本
12.1 和 13.0EOL(存在漏洞)迁移到受支持版本

13) 适合此 CVE 类型的安全堆栈

快速见效,降低边缘设备被突破时的爆炸半径。

  • 1Password Business — 锁定密钥并强制执行 FIDO2 MFA;事件后快速凭据轮换。
  • NordVPN / Proton VPN (Teams) — 隔离管理平面并要求通过 VPN 接入管理;分段远程访问工作流。
  • Malwarebytes / Bitdefender EDR — 检测 Web Shell 信标、异常 PHP 执行及边缘受损后的横向移动。
  • Cloudflare Zero Trust — 将 Gateway/AAA 置于 ZTNA 之后,结合设备状态和每用户策略。

14) 归因与进一步阅读

  • NVD CVE-2025-6543 — 指标、受影响 CPE
  • Citrix/NetScaler CTX694788 — 官方修复版本、受影响版本、利用观察
  • NetScaler Blog — 无缓解措施;通过支持获取 IoC;升级后操作说明
  • CISA KEV Alert — 于 2025-06-30 加入 KEV
  • Rapid7 — 利用背景;RCE 可能性框架
  • Tenable FAQ — 时间线、与 5777 的关系(不相关)、修复版本列表及会话说明
  • NCSC-NL — 自 2025 年 5 月初的零日、检查脚本、指标及操作指导
  • The Hacker News — 对齐 NCSC-NL 与补丁版本及命令的总结 CSD0tFqvECLokhw9aBeRqsAhlXRiKzqRIV45mkEUWJawXIMfa8NpelLeXlakWHMMSv7BqOnNIn6V3VrBT+Mro6XohcShMXiUm+T8l1sDFhkN2RpmGU/NZKIY40rrI+/waTR3FVu3wMiBWjbAgfyroaSTydWvJFs7JZsupmQy9bU=
avatar
文章
阅读
粉丝