Citrix NetScaler ADCおよびGatewayデバイスにおいて、2023年に悪名高かったCitrixBleedの脆弱性と類似した新たな重大な脆弱性が、実際に悪用されていると報告されています。
「CitrixBleed 2」と名付けられたこのアウト・オブ・バウンズリードの脆弱性により、攻撃者は多要素認証(MFA)を含む認証機構をバイパスし、ユーザーセッションを乗っ取る可能性があります。
この脆弱性は公式にはCVE-2025-5777として追跡されており、Citrixによって6月17日に公開され、同時にアクセス制御の問題であるCVE-2025-5349も公開されました。前者の深刻度スコア(CVSS)は9.3、後者は8.7です。
いずれもCitrix NetScaler ADCおよびGatewayデバイスに影響し、CVE-2025-5777はバージョン14.1および47.46以前、13.1および59.19以前に影響し、CVE-2025-5349はバージョン14.1および43.56以前、13.1および58.32以前に影響します。
6月25日、独立系セキュリティ研究者のKevin Beaumont氏は、CVE-2025-5777がCitrixBleed(2023年に公開され、CVE-2023-4966として追跡)を想起させると述べました。この脆弱性は、ランサムウェアや国家支援グループを含む脅威アクターによって広範に悪用されてきました。そのため、Beaumont氏は新たな脆弱性を「CitrixBleed 2」と名付けました。
6月26日、ReliaQuestはレポートを公開し、「中程度の確信度」で攻撃者がCVE-2025-5777を積極的に悪用し、標的環境への初期アクセスを得ていると主張しました。
この結論に至った指標は以下の通りです:
- NetScalerデバイスからのCitrixウェブセッションの乗っ取り。ユーザーが認識しないまま認証が許可されており、MFAバイパスを示唆
- 複数のIPアドレス間でのセッション再利用(想定されるIPと疑わしいIPの組み合わせを含む)
- Active Directoryの偵察活動に関連するLDAPクエリ
- 環境内で複数回確認された「ADExplorer64.exe」ツールによる、ドメイングループや権限のクエリ、複数のドメインコントローラーへの接続
- DataCampなどのデータセンター関連IPアドレスから発生したCitrixセッションが確認され、消費者向けVPNサービスの利用が示唆される
ReliaQuestによると、CitrixBleed 2は認証バイパスやセッション乗っ取り能力において元のCitrixBleedと類似していますが、新たにセッションクッキーではなくセッショントークンを標的とすることで新たなリスクをもたらしています。
「セッションクッキーは短命なブラウザセッションに結びついていることが多いのに対し、セッショントークンはAPIコールや永続的なアプリケーションセッションなど、より広範な認証フレームワークで一般的に使用されます」とReliaQuestの研究者は記しています。
さらに、Citrixは6月25日にNetScaler ADCおよびGatewayデバイスに影響する3つ目の脆弱性も公開しました。
この脆弱性はCVE-2025-6543として追跡されており、メモリオーバーフローにより意図しない制御フローやサービス拒否(DoS)を引き起こします。NetScaler ADCおよびNetScaler GatewayがGateway(VPN仮想サーバ、ICAプロキシ、CVPN、RDPプロキシ)またはAAA仮想サーバとして構成されている場合に影響します。深刻度スコア(CVSS)は9.2で、CVE-2025-5777と同じバージョンに影響し、すでに積極的に悪用されていると報告されています。
翻訳元: https://www.infosecurity-magazine.com/news/citrixbleed-2-vulnerability/