出典:SOPA Images Limited/Alamy Stock Photo
ニュース速報
NetScaler ADCおよびGatewayに発見された重大な脆弱性(CVE-2025-5777)が、現在野放しで悪用されている可能性があります。
この脆弱性は「CitrixBleed 2」と呼ばれています。これは、セキュリティ研究者のKevin Beaumont氏が、元のCitrixBleed(CVE-2023-4966)と類似点があることから命名されました。
CitrixBleed 2には、CVSSの重大なスコア9.3が割り当てられており、不十分な入力検証による範囲外読み取りの欠陥と説明されています。元のCitrixBleedと同様に、インターネットに公開されたNetScalerデバイスのメモリから有効なセッショントークンを不正な攻撃者が盗む可能性があります。
「この脆弱性の悪用に関する公的な報告はまだありませんが、ReliaQuestは初期アクセスを得るための悪用の兆候を観測しました」とReliaQuestの研究者はブログ記事で述べており、攻撃者が標的環境へのアクセスを得るためにこの脆弱性を積極的に悪用していると中程度の確信を持って評価しています。
ReliaQuestの研究者によると、彼らが観測した脆弱性の悪用を示唆する指標は以下の通りです:
-
ユーザーが認識しないまま認証が許可されたNetScalerデバイスからのCitrix Webセッションの乗っ取り
-
複数のIP間でのセッション再利用
-
データセンターのホスティングIPアドレスからのCitrixセッション(消費者向けVPNサービスの利用を示唆)
-
Active Directory(AD)の偵察活動を示すLDAPクエリ
-
AD環境を分析し、脅威アクターに悪用される可能性がある「ADExplorer64.exe」ツールの存在
「Citrix Bleed 2は、認証を回避しセッションハイジャックを可能にする点で元の脆弱性と同様ですが、セッションクッキーではなくセッショントークンを標的とすることで新たなリスクをもたらします」と研究者は指摘しています。「セッションクッキーは短命なブラウザセッションに紐づくことが多いのに対し、セッショントークンはAPI呼び出しや永続的なアプリケーションセッションなど、より広範な認証フレームワークで一般的に使用されます。」
これは、攻撃者がユーザーがブラウザセッションを終了した後でも、長期間にわたり複数のシステムにわたって検知されずにアクセスを維持できる可能性があることを意味します。
悪用を防ぐため、CitrixはNetScaler ADCおよびNetScaler Gateway 14.1-43.56以降のバージョン、NetScaler ADCおよびNetScaler Gateway 13.1-58.32以降の13.1バージョン、NetScaler ADC 13.1-FIPSおよび13.1-NDcPP 13.1-37.235以降の13.1-FIPSおよび13.1-NDcPPのインストールを推奨しています。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/citrixbleed-2-active-exploitation