安全热点周报：超过 28,000 台 Citrix 设备容易受到新 RCE 漏洞的攻击

安全资讯导视
• 国务院印发《关于深入实施“人工智能+”行动的意见》
• 国内主流大模型商业化版本内容安全测试结果揭晓
• 卫星网络遭精准攻击！伊朗关键货运船队海上失联细节披露

PART 01

漏洞情报

1.CrushFTP身份验证绕过漏洞安全风险通告

8月27日，奇安信CERT监测到官方修复CrushFTP身份验证绕过漏洞(CVE-2025-54309)，该漏洞产生于CrushFTP在处理AS2证书时存在缺陷，未正确实施DMZ代理功能，导致远程攻击者可以通过条件竞争获得管理员访问权限。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为18627个，关联IP总数为363个。目前该漏洞POC已在互联网上公开且已经存在在野利用，奇安信威胁情报中心安全研究员已成功复现。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

2.Citrix NetScaler内存溢出漏洞安全风险通告

8月27日，奇安信CERT监测到官方修复Citrix NetScaler内存溢出漏洞(CVE-2025-7775)，该漏洞源于NetScaler在处理IPv6相关协议栈或CR类型HDX虚拟服务器流量时，对内存缓冲区的边界检查不足，导致攻击者可发送特制网络数据包触发内存溢出。当NetScaler处于如下任意一种配置时，攻击者可在受影响设备上执行任意代码，或造成系统崩溃与服务中断：1.认证服务器（AAA Vserver）；2.网关（VPN Vserver、ICA Proxy、CVPN、RDP Proxy）；3.类型为HTTP_QUIC、SSL或HTTP的负载均衡虚拟服务器，且绑定了 IPv6 服务或服务组；4.类型为HTTP_QUIC、SSL或HTTP的负载均衡虚拟服务器，且绑定了IPv6 DBS服务或服务组；5.类型为HDX的CR虚拟服务器。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为8141个，关联IP总数为1502个。目前该漏洞已发现在野利用，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

3.Apple DNG图像处理越界写入漏洞安全风险通告

8月25日，奇安信CERT监测到官方修复Apple DNG图像处理越界写入漏洞(CVE-2025-43300)，iOS/iPadOS 18.6.1以前及对应macOS版本中，RawCamera.bundle 在解析DNG文件时，对TIFF元数据标签SamplesPerPixel与JPEG Lossless SOF3段内component count未做一致性校验。当二者数值不符时，系统按SamplesPerPixel分配缓冲区，而解码器却按component count写入数据，导致堆缓冲区溢出。攻击者可以通过诱导受害者打开精心构造的DNG文件触发此漏洞，导致程序崩溃、损坏数据，甚至远程执行任意代码。目前该漏洞POC及技术细节已在互联网上公开，奇安信威胁情报中心安全研究员已成功复现。鉴于该漏洞已发现在野利用，建议客户尽快做好自查及防护。

PART 02

新增在野利用

1.Citrix NetScaler 内存溢出漏洞(CVE-2025-7775)

8月26日，超过 28,200 个 Citrix 实例容易受到跟踪为 CVE-2025-7775 的远程代码执行漏洞的攻击，该漏洞已被广泛利用。

该漏洞影响 NetScaler ADC 和 NetScaler Gateway，供应商在其发布的更新中解决了该漏洞。据 Citrix 称，该安全问题已被用作零日漏洞。Citrix 不提供任何缓解措施或解决方法，并敦促管理员立即升级固件。

漏洞披露后不久，威胁监控平台 The Shadowserver Foundation 进行的互联网扫描显示，有超过 28,000 个 Citrix 实例容易受到 CVE-2025-7775 的攻击。大多数易受攻击的实例位于美国（10,100 个），其次是德国（4,300 个）、英国（1,400 个）、荷兰（1,300 个）、瑞士（1,300 个）、澳大利亚（880 个）、加拿大（820 个）和法国（600 个）。Citrix 没有分享与利用活动相关的入侵指标。但是，供应商指定，当配置为网关/AAA 虚拟服务器（VPN、ICA 代理、CVPN、RDP 代理）、绑定到 IPv6 或 DBS IPv6 服务的 LB 虚拟服务器（HTTP/SSL/HTTP_QUIC）或类型为 HDX 的 CR 虚拟服务器时，CVE-2025-7775 会影响 NetScaler。

在任何情况下，建议管理员升级到官方发布的补丁版本，以解决该问题。Citrix 还在其安全公告中披露了另外两个高严重性漏洞：CVE-2025-7776（内存溢出拒绝服务）和 CVE-2025-8424（管理界面上的访问控制不当）。值得注意的是，12.1 和 13.0 版（非 FIPS/NDcPP）也容易受到攻击。但是，它们已达到生命周期终止状态，因此仍在使用这些版本的客户必须升级到受支持的版本。

Shadowserver 的统计表明，鉴于 NetScaler ADC 和 Gateway 设备主要由企业和服务提供商部署，而不是业余爱好者，因此其中许多落后者都是大型组织。去年的 CitrixBleed 漏洞（CVE-2023-4966）在修复程序发布几个月后，在数千个环境中仍未修补，助长了勒索软件入侵和数据盗窃活动。

鉴于新一波的利用浪潮以及攻击者历来抓住 Citrix 漏洞的速度，观察人士表示，CVE-2025-7775 成为另一个头条违规驱动因素只是时间问题。由于仍有超过 13,000 个 NetScaler 悬而未决，攻击者不会缺少目标。

参考链接：

https://www.bleepingcomputer.com/news/security/over-28-200-citrix-instances-vulnerable-to-actively-exploited-rce-bug/

2.Git 远程代码执行漏洞(CVE-2025-48384)

8月25日，美国网络安全与基础设施安全局（CISA）警告称，黑客正在利用 Git 分布式版本控制系统中的任意代码执行漏洞。

Git 版本控制系统允许软件开发团队随时间的变化跟踪代码库。该库是现代软件协作的支柱，是 GitHub、GitLab 和 Bitbucket 等平台的基础。

Git 中被利用的漏洞具有高严重性评分，被跟踪为 CVE-2025-48384。它源于 Git 对配置文件中回车（r）字符的错误处理。Git 写入和读取这些字符的方式不匹配会导致子模块路径解析不正确。攻击者可以通过发布以 r 结尾的子模块和带有恶意钩子设置的精心制作的符号链接的存储库来利用此问题，从而导致在克隆它们的用户的机器上执行任意代码。

Git 于2025年7月8日发现了该问题，建议受影响客户尽快升级到补丁版本：2.43.7、2.44.4、2.45.4、2.46.4、2.47.3、2.48.2、2.49.1 和 2.50.1。如果无法更新，建议避免来自不受信任的来源的递归子模块克隆，通过 core.hooksPath 全局禁用 Git 钩子，或仅强制执行经过审计的子模块。

参考链接：

https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-git-code-execution-flaw/

PART 03

安全事件

1.因关键供应商被黑，瑞典全国约200个城市居民敏感数据泄露

8月27日The Record消息，瑞典软件供应商Miljödata在23日发现遭遇网络攻击，据估计影响了全国约200个城镇。当地警方表示，攻击者已侵入Miljödata的数据环境，并要求公司支付1.5个比特币，约合150万瑞典克朗（约合人民币112万元）。该公司首席执行官Erik Hallén表示，这些系统在瑞典80%的城镇中使用，主要用于处理劳动法相关案件、康复事务、医疗证明，以及工伤和事故的申报与处理。因此，员工、前雇员及学生的敏感个人信息可能已遭泄露。约200个市镇和地区受到此次事件影响，而瑞典全国共有290个城镇和21个地区。

原文链接：

https://therecord.media/sweden-municipalities-ransomware-software

2.日产遭勒索软件入侵，4TB核心数据被盗

8月26日Bleeping Computer消息，日本汽车制造商日产（Nissan）确认其子公司Creative Box Inc.（CBI）遭遇数据泄露事件，涉及车辆设计核心资料。此次攻击由Qilin勒索软件组织发起，攻击者声称窃取了4TB数据，包括3D整车设计模型、内部报告、财务文件、虚拟现实设计流程及车辆照片等。日产发言人透露，CBI 8月16日在其数据服务器上检测到可疑访问行为，随即采取应急措施，包括阻断服务器访问，并第一时间向警方报案。经过初步调查，已经能够验证确有部分设计资料泄露。此次泄露仅涉及日产自身，并不会波及其他客户、承包商或第三方公司。

原文链接：

https://www.bleepingcomputer.com/news/security/nissan-confirms-design-studio-data-breach-claimed-by-qilin-ransomware/

3.卫星网络遭精准攻击！伊朗关键货运船队海上失联细节披露

8月22日Nariman Gharib消息，知名黑客组织Lab-Dookhtegan披露了近期袭击伊朗64艘邮轮与货轮的大量数据，揭示了一起以网络攻击实施战略打击的高水平行动。此次攻击目标涵盖39艘油轮和25艘货轮，这些船只均隶属于受制裁的伊朗航运巨头伊朗国家油运公司（NITC）和伊朗国家航运公司（IRISL）。据该组织声称，64艘船彻底与外界失联，导航系统被清空，数字化破坏如此严重，以至于部分船只可能数月内都无法恢复。据其披露数据声称，该组织通过攻击这些船只的当地卫星通信供应商Fanava集团，获取了对应船只的详细信息并实施长期监控，潜伏5个月之久后发起自毁式攻击，擦除了卫星通信设备和关键通信系统的数据，以期令伊朗海上行动全面瘫痪。目前伊朗方面尚未对此发表评论。

原文链接：

https://blog.narimangharib.com/posts/2025%2F08%2F1755854831605?lang=en

PART 04

政策法规

1.《人工智能生成合成内容标识方法文件元数据隐式标识文本文件》等6项网络安全标准实践指南发布

8月28日，全国网络安全标准化技术委员会秘书处组织编制了6项网络安全标准实践指南，包括5份《人工智能生成合成内容标识方法文件元数据隐式标识》系列文件、1项《人工智能生成合成内容检测第1 部分：框架》文件。这6份文件明确了人工智能生成合成文本、图片、音频、视频等内容的文件元数据隐式标识方法、元数据安全防护指南以及生成合成内容检测框架，可为生成合成服务提供者和内容传播服务提供者开展人工智能生成合成内容文件元数据隐式标识活动以及生成合成内容检测活动提供参考。

原文链接：

https://www.tc260.org.cn/upload/2025-08-28/1756396168261019065.rar

2.《网络安全技术物联网安全参考模型及通用要求》等4项国家标准公开征求意见

8月27日，全国网络安全标准化技术委员会归口的4项国家标准已形成标准征求意见稿，现公开征求意见。4项标准包括《网络安全技术鉴别与授权基于属性的访问控制模型与管理规范》《网络安全技术开放的第三方资源授权协议》《网络安全技术物联网安全参考模型及通用要求》《数据安全技术个人信息匿名化处理指南及评价方法》。

原文链接：

https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10

3.工信部印发《关于优化业务准入促进卫星通信产业发展的指导意见》

8月27日，工业和信息化部印发《关于优化业务准入促进卫星通信产业发展的指导意见》，从有序扩大市场开放、持续拓展应用场景、培育壮大产业生态、优化电信资源供给、加强卫星通信监管、提升协同推进合力等六方面提出19条思路举措。其中1条举措为筑牢网络和数据安全防线，包括指导督促企业依法履行国家安全主体责任，在相关系统的设计、建设、运行中同步规划、同步建设、同步运行安全技术措施，落实通信网络安全防护、数据分类分级保护、关键信息基础设施保护、网络安全等级保护以及个人信息保护等要求，建设信息安全技术措施，保障网络、数据和信息安全，加强用户实名制管理，做好防范治理电信网络诈骗相关技术保障措施。

原文链接：

https://www.miit.gov.cn/zwgk/zcwj/wjfb/yj/art/2025/art_84617e8497d84a3d8b8b3ef847f648d2.html

4.国务院印发《关于深入实施“人工智能+”行动的意见》

8月26日，国务院印发《关于深入实施“人工智能+”行动的意见》。该文件提出了14条举措，其中1条为提升安全能力水平。内容包括推动模型算法、数据资源、基础设施、应用系统等安全能力建设，防范模型的黑箱、幻觉、算法歧视等带来的风险，加强前瞻评估和监测处置，推动人工智能应用合规、透明、可信赖。建立健全人工智能技术监测、风险预警、应急响应体系，强化政府引导、行业自律，坚持包容审慎、分类分级，加快形成动态敏捷、多元协同的人工智能治理格局。

原文链接：

https://www.gov.cn/zhengce/content/202508/content_7037861.htm

5.美国CISA发布《软件物料清单最低要素》新版草案

8月22日，美国网络安全和基础设施安全局（CISA）发布《软件物料清单（SBOM）最低要素》更新版本草案，启动公众意见征询期，希望进一步加强软件供应链的透明度。该文件提出，SBOM新增了组件哈希值、许可证、工具名称和生成上下文等要素，为提升基于风险的软件安全决策提供了信息支持。更新了SBOM作者、软件生产商、组件版本、软件标识符、覆盖范围以及SBOM数据更新的容纳机制等部分要素的细节，旨在明确SBOM应包含的数据内容，以实现更统一的实施标准。还更新了组件名称、时间戳、依赖关系、自动化支持、频率、已知未知项、分发与交付等其他要素的早期版本定义，移除了访问控制要素，并将访问控制考量纳入分发与交付部分。

原文链接：

https://www.cisa.gov/sites/default/files/2025-08/2025_CISA_SBOM_Minimum_Elements.pdf

6.美国NIST发布4项轻量级加密标准以保护物联网设备

8月13日，美国国家标准与技术研究院（NIST)发布《基于Ascon的受限设备轻量级加密标准》（SP 800-232）指导文件，最终确定了4项轻量级加密算法，替代性能要求较高的AES加密算法，专门用于保护物联网及其他小型设备生成和传输的数据。4项算法均基于Ascon算法家族，包括AEAD128、Ascon-Hash256、Ascon-XOF128和Ascon-CXOF128，其中第1项为认证加密算法，后3项为哈希算法。

原文链接：

https://csrc.nist.gov/pubs/sp/800/232/final

往期精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！