首页 > 安全研究 > 安全通报 > 安全通告

【漏洞通告】NetScaler内存溢出远程代码执行漏洞(CVE-2025-7775)

发布时间 2025-08-27

一、漏洞概述


漏洞名称

NetScaler内存溢出远程代码执行漏洞

CVE   ID

CVE-2025-7775

漏洞类型

RCE

发现时间

2025-08-27

漏洞评分

9.2

漏洞等级

严重

攻击向量

网络

所需权限

利用难度

用户交互

不需要

PoC/EXP

未公开

在野利用

已发现


NetScaler ADC(前称Citrix ADC)和NetScaler Gateway(前称Citrix Gateway)是由Citrix公司提供的高性能应用交付和远程访问解决方案。NetScaler ADC旨在优化应用性能、提高可用性并增强安全性,广泛用于负载均衡、内容缓存和应用加速等领域。NetScaler Gateway则专注于为远程用户提供安全的虚拟专用网络(VPN)访问,支持多因素认证和单点登录(SSO)等功能。两者都能够帮助企业在保证应用交付效率的同时,确保数据传输和用户访问的安全性。


2025年8月27日,启明星辰集团VSRC监测到NetScaler ADC和NetScaler Gateway存在内存溢出远程代码执行漏洞(CVE-2025-7775)。攻击者可通过构造特制请求触发内存溢出,从而执行任意代码或导致系统崩溃,严重威胁业务连续性与数据安全。该漏洞影响配置为网关(VPN虚拟服务器、ICA Proxy、CVPN、RDP Proxy)或AAA虚拟服务器的设备;同时也影响运行13.1、14.1、13.1-FIPS和NDcPP版本的NetScaler,在以下任一条件下均存在风险:①负载均衡(LB)虚拟服务器类型为HTTP、SSL或HTTP_QUIC,且绑定IPv6服务或与IPv6服务器的服务组;②LB虚拟服务器绑定DBS IPv6服务或与IPv6 DBS服务器的服务组;③配置为HDX类型的CR虚拟服务器。


二、影响范围


13.1 <= NetScaler ADC\NetScaler Gateway < 13.1-59.22
14.1 <= NetScaler ADC\NetScaler Gateway < 14.1-47.48
13.1-FIPS <= NetScaler ADC\NetScaler Gateway < 13.1-37.241
13.1-NDcPP <= NetScaler ADC\NetScaler Gateway < 13.1-37.241
12.1-FIPS <= NetScaler ADC\NetScaler Gateway < 12.1-55.330
12.1-NDcPP <= NetScaler ADC\NetScaler Gateway < 12.1-55.330。


三、安全措施


3.1 升级版本


官方已发布安全补丁,升级至如下版本。
NetScaler ADC\NetScaler Gateway >= 14.1-47.48
NetScaler ADC\NetScaler Gateway >= 13.1-59.22
NetScaler ADC\NetScaler Gateway (13.1-FIPS) >= 13.1-37.241
NetScaler ADC\NetScaler Gateway (13.1-NDcPP) >= 13.1-37.241
NetScaler ADC\NetScaler Gateway (12.1-FIPS) >= 12.1-55.330
NetScaler ADC\NetScaler Gateway (12.1-NDcPP) >= 12.1-55.330
NetScaler ADC / Gateway 12.1 普通版与 13.0 全系列已到达生命周期终止(EOL),不再提供安全补丁,建议直接升级至受支持的安全版本,并优先考虑升级到 14.1 系列及以上版本,以获得长期支持和最新安全修复。


3.2 临时措施


管理员可通过在 NetScaler 配置中搜索以下命令,确认设备是否处于受影响状态:
检查 AAA 虚拟服务器(Auth Server)
show run | grep "add authentication vserver"
若发现配置了 AAA 虚拟服务器,且当前未使用,建议临时禁用。
检查 Gateway(VPN / ICA Proxy / CVPN / RDP Proxy)
show run | grep "add vpn vserver"
如未使用 VPN 功能,建议暂时关闭相关虚拟服务器或限制访问。
检查负载均衡(LB)虚拟服务器绑定 IPv6 服务
show run | grep "add lb vserver"
show run | grep "add serviceGroup"
show run | grep "add server"
重点排查 HTTP、SSL、HTTP_QUIC 类型的 LB 虚拟服务器,若绑定 IPv6 服务或 IPv6 服务组,存在受攻击风险。
检查绑定 DBS IPv6 服务或服务器
show run | grep "add server .* -queryType AAAA"
show run | grep "bind servicegroup"
如不需要 IPv6 DBS 解析服务,建议立即解绑或禁用。
检查 CR 虚拟服务器(HDX 类型)
show run | grep "add cr vserver"
若未使用 HDX 类型 CR 虚拟服务器,可临时禁用。
对于未使用的 AAA、VPN、ICA Proxy、CVPN、RDP Proxy、HDX 类型 CR 虚拟服务器等高风险配置,建议立即禁用:
disable vpn vserver
disable authentication vserver
disable cr vserver
解绑或禁用 IPv6 服务
若业务允许,可在受影响的 LB 虚拟服务器上解绑 IPv6 服务或关闭 IPv6 功能:
unbind serviceGroup
set ns param -ipv6 DISABLED
限制外部访问
在防火墙、WAF 或 ACL 中限制对受影响设备的公网访问,仅允许可信管理 IP 段。
建议优先通过内网或 VPN 安全通道管理设备。
启用安全日志监控
开启 NetScaler 安全日志功能,重点监控异常请求、IPv6 绑定调用等可疑行为。
配合 SIEM / IDS / NDR 工具,实时检测潜在攻击迹象。


3.3 通用建议


• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
• 使用企业级安全产品,提升企业的网络安全性能。
• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
• 启用强密码策略并设置为定期修改。


3.4 参考链接


https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938/
https://nvd.nist.gov/vuln/detail/CVE-2025-7775
上一篇 下一篇