最近のCitrix NetScaler ADCおよびGatewayの脆弱性は、「CitrixBleed 2」と呼ばれています。これは、認証されていない攻撃者が脆弱なデバイスから認証セッションのクッキーを乗っ取ることを可能にした以前の欠陥と類似しているためです。
先週、Citrixは、NetScaler ADCおよびGatewayのバージョン14.1-43.56以前、13.1-58.32以前、13.1-37.235-FIPS/NDcPPおよび2.1-55.328-FIPSに影響を与えるCVE-2025-5777およびCVE-2025-5349として追跡されている欠陥についてのセキュリティ通知を発表しました。
CVE-2025-5777は、アウトオブバウンズメモリ読み取りによって引き起こされる重大な欠陥で、認証されていない攻撃がアクセスすべきでないメモリの一部にアクセスすることを可能にします。
この欠陥は、Gateway(VPN仮想サーバー、ICAプロキシ、クライアントレスVPN(CVPN)、RDPプロキシ)またはAAA仮想サーバーとして構成されているNetScalerデバイスに影響を与えます。
サイバーセキュリティ研究者のKevin Beaumont氏は、この欠陥が悪名高い「CitrixBleed」脆弱性(CVE-2023-4966)を反映していると述べています。この脆弱性は、ランサムウェアや政府攻撃を含む脅威アクターによって広範に悪用されました。
Beaumont氏はCVE-2025-5777を「CitrixBleed 2」と特徴づけ、この欠陥が攻撃者に対し、パブリックに公開されているゲートウェイや仮想サーバーからセッショントークン、認証情報、その他の機密データにアクセスする可能性を与えると述べています。
漏洩したトークンは、ユーザーセッションを乗っ取るために再利用され、多要素認証(MFA)を回避することができます。
同じセキュリティ通知には、CVE-2025-5349として追跡される2番目の高深刻度の欠陥も記載されています。
これは、NetScaler管理インターフェースにおける不適切なアクセス制御の問題であり、攻撃者がNSIP(NetScaler管理IP)、クラスタ管理IP、またはローカルGSLBサイトIPにアクセスできる場合に悪用可能です。
両方のリスクに対処するために、ユーザーはDCおよびNetScaler Gateway 14.1-43.56、13.1-58.32以降、13.1-NDcPP 13.1-37.235(FIPS)、および12.1-55.328(FIPS)をインストールすることが推奨されています。
Citrixはこれらの欠陥が積極的に悪用されているかどうかを明言していませんが、すべてのアプライアンスが更新されたらすぐにすべてのアクティブなICAおよびPCoIPセッションを終了することを管理者に推奨しています。このアドバイスは、元のCitrixBleedの欠陥についてもCitrixから提供されました。
アクティブなセッションを終了する前に、管理者はまず、show icaconnectionコマンドとNetScaler Gateway > PCoIP > Connectionsを使用してPCoIPセッションを確認し、既存のセッションを疑わしい活動がないか確認する必要があります。
アクティブなセッションを確認した後、管理者は次のコマンドを使用してそれらを終了する必要があります:
kill icaconnection -all
kill pcoipconnection -allこれらの欠陥は、サポート終了のADC / Gateway 12.1(非FIPS)およびADC / Gateway 13.0にも影響を与えますが、これらにはパッチが提供されません。これらのバージョンを使用している場合は、できるだけ早くサポートされているリリースにアップグレードする必要があります。
Beaumont氏のインターネットスキャンでは、56,500以上のNetScaler ADCおよびGatewayエンドポイントが公開されていることが示されていますが、それらのうちどの割合がCVE-2025-5349およびCVE-2025-5777に脆弱なバージョンを実行しているかは不明です。
なぜITチームは手動のパッチ管理をやめているのか
パッチ適用は、複雑なスクリプト、長時間の作業、終わりのない火災訓練を意味していました。もうそんなことはありません。
この新しいガイドでは、Tinesが現代のIT組織がどのように自動化でレベルアップしているかを説明します。パッチを迅速に適用し、オーバーヘッドを削減し、戦略的な作業に集中します。複雑なスクリプトは不要です。