6月17日Citrix发布资安公告，修补NetScaler ADC与NetScaler Gateway重大漏洞CVE-2025-5777（4.0版CVSS风险评为9.3），后续资安研究员Kevin Beaumont警告此漏洞相当严重，相当于另一个「Citrix Bleed（CVE-2023-4966）」，因而命名为CitrixBleed 2，并认为很可能接下来会引发相关的漏洞利用攻击，呼吁企业的IT人员要儘速採取行动因应，果不其然，很快就有疑似漏洞利用的情况发生。

资安业者ReliaQuest指出，他们发现一系列不寻常的活动，怀疑是有人利用CVE-2025-5777，试图取得初期的存取管道。

首先，研究人员提及观察到NetScaler装置的网路连线阶段（Session）遭到挟持，这代表攻击者在用户不知情的情况下通过身分验证，同时绕过多因素验证（MFA）。同时，他们看到连线阶段被多个来源IP位址重覆利用的现象，而且是研究人员预期的或是恶意的IP位址。

再者，骇客也对于受害组织的网路环境进行侦察。研究人员看到对方透过LDAP查询来侦察AD环境，并利用名为ADExplorer64.exe的工具进行调查，掌握网域层级的群组、权限，以及连线的网域控制器。

附带一提的是，建立Citrix连线阶段的源头是资料中心代管的IP位址，且与线上程序语言学习平台DataCamp有关。研究人员推测，攻击者运用了个人版的VPN服务来隐匿行蹤。

ReliaQuest提及，CVE-2025-5777与CVE-2023–4966两个漏洞的本质大致相同，都能让攻击者从记忆体截取身分验证资料，从而挟持连线阶段并绕过多因素验证，但相较于前一代Citrix Bleed漏洞可被用于挟持Cookie，CVE-2025-5777能让攻击者挟持凭证（Token）而产生新的风险，原因是Token通常运用的範围涵盖身分验证框架，如API呼叫或是应用程序的连线阶段。

这代表攻击者若能利用CVE-2025-5777，将有可能在不被侦测的情况下长时间存取受害组织的网路环境，即便用户察觉有异而终止连线阶段，也难以阻绝攻击者的存取管道。