水曜日にCitrixは、以前の攻撃スプレーで広く標的にされたベンダーからの懸念すべき展開として、複数のNetScaler製品バージョンに影響を与える積極的に悪用されているゼロデイ脆弱性を公開しました。
このゼロデイ (CVE-2025-6543) は、同じ製品における一対の欠陥 (CVE-2025-5777 および CVE-2025-5349) に関するセキュリティ通知を発行してから9日後にCitrixによって公開されました。これら3つの脆弱性は、同社のネットワークセキュリティアプライアンスNetScaler ADCおよび仮想プライベートネットワークNetScaler Gatewayに影響を与えます。
「未対策のアプライアンスでCVE-2025-6543の悪用が観察されています」と、Citrixはゼロデイに関するセキュリティ通知で述べました。Citrixはコメントの要請には応じませんでした。
Citrixは、CVSSスケールで基本スコア9.2を持つ重大なゼロデイCVE-2025-6543を、攻撃者が意図しない制御フローやサービス拒否を引き起こすために悪用できるメモリオーバーフローの欠陥として説明しました。Citrixによると、標的のNetScalerインスタンスがゲートウェイまたは認証、認可、会計(AAA)仮想サーバーとして構成されている場合にのみ、悪用が発生する可能性があります。
watchTowrのCEO兼創設者であるBen Harrisは、CVSSスコアに関連する脆弱性メトリクスがコード実行や類似の目的を示していることに注目し、Citrixのゼロデイの説明に疑問を呈しました。
「これはサービス拒否として位置付けられているものではないと高い確信を持っています」とHarrisはCyberScoopに語りました。
「サービス拒否状態に入ることが観察された脆弱なアプライアンスは、おそらく失敗した悪用を反映しており、議論されている脆弱性のクラスを考慮すると、意図された攻撃者の結果ではありません」と彼は付け加えました。
Citrixの公開のタイミングも、脅威インテリジェンスの専門家の間でいくらかの懐疑を生んでいます。このゼロデイ通知は、CVE-2025-5777に関する懸念が高まっている中で発表されました。この脆弱性は、同じ製品の欠陥であるCVE-2023-4966、2023年に複数の大企業に影響を与え広く悪用された「CitrixBleed」と比較されています。
Citrixは、最近公開された3つの脆弱性の間に潜在的な関連性を詳細に説明しておらず、また、ゼロデイをいつまたはどのような状況で認識したかについても説明していません。