CISA、Citrix Bleed 2の悪用を確認、政府機関に1日でのパッチ適用を指示

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Citrix NetScaler ADCおよびGatewayに存在するCitrixBleed 2脆弱性（CVE-2025-5777）の悪用が実際に行われていることを確認し、連邦機関に対して修正プログラムの適用を1日以内に行うよう指示しました。

このような短期間でのパッチ適用の締め切りは、CISAが既知悪用脆弱性（KEV）カタログを公開して以来、前例のないことであり、このセキュリティ問題を悪用する攻撃の深刻さを示しています。

同庁は昨日、この脆弱性を既知悪用脆弱性（KEV）カタログに追加し、連邦機関に対して本日6月11日中に緩和策を実施するよう命じました。

CVE-2025-5777は、認証されていない攻撃者が制限されたメモリ領域にアクセスできる重大なメモリ安全性の脆弱性（範囲外メモリ読み取り）です。

この問題は、バージョン14.1-43.56、13.1-58.32、13.1-37.235-FIPS/NDcPP、2.1-55.328-FIPSより前のバージョンで、GatewayまたはAAA仮想サーバーとして構成されたNetScalerデバイスに影響します。

Citrixは6月17日にリリースしたアップデートでこの脆弱性に対処しました。

1週間後、セキュリティ研究者のKevin Beaumont氏は、ブログ投稿でこの脆弱性の悪用可能性や深刻度、未修正の場合の影響について警告しました。

Beaumont氏は、この脆弱性が悪名高いCitrixBleed脆弱性（CVE-2023-4966）と類似していることから、’CitrixBleed 2‘と呼びました。CVE-2023-4966は、あらゆる種類のサイバー犯罪者によって広範に悪用されました。

CitrixBleed 2の悪用に関する最初の警告は、6月27日にReliaQuestから発表されました。7月7日には、watchTowrとHorizon3のセキュリティ研究者がCVE-2025-5777の概念実証（PoC）エクスプロイトを公開し、この脆弱性がユーザーセッショントークンの窃取攻撃に利用できることを示しました。

当時は、実際の野良での積極的な悪用の明確な証拠はありませんでしたが、PoCが公開され、悪用が容易であることから、攻撃者が大規模に利用し始めるのは時間の問題でした。

しかし過去2週間、脅威アクターたちはハッカーフォーラムでCitrix Bleed 2脆弱性のPoCについて議論し、作業し、テストし、フィードバックを公に共有してきました。

彼らは既存のエクスプロイトを攻撃でどのように機能させるかに関心を示しており、ここ数日でその活動が活発化し、複数のエクスプロイトが公開されています。

CISAがCitrixBleed 2の攻撃での積極的な悪用を確認したことで、脅威アクターが先週公開された技術情報をもとに独自のエクスプロイトを開発した可能性が高いと考えられます。

「ベンダーの指示に従って緩和策を適用し、クラウドサービスには該当するBOD 22-01ガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください」とCISAは警告しています。

この問題を緩和するため、ユーザーはファームウェアバージョン14.1-43.56+、13.1-58.32+、または13.1-FIPS/NDcPP 13.1-37.235+へのアップグレードが強く推奨されます。

アップデート後、管理者はすでに侵害されている可能性があるため、すべてのアクティブなICAおよびPCoIPセッションを切断する必要があります。

その前に、'show icaconnection'コマンドやNetScaler Gateway > PCoIP > Connectionsから、現在のセッションに不審な動きがないか確認してください。

その後、以下のコマンドでセッションを終了します：

• kill icaconnection -all
• kill pcoipconnection -all

すぐにアップデートできない場合は、ファイアウォールルールやACLを使ってNetScalerへの外部アクセスを制限してください。

CISAは悪用を確認していますが、Citrixは6月27日付の元のセキュリティ情報をまだ更新しておらず、そこではCVE-2025-5777が野良で悪用された証拠はないと記載されています。

BleepingComputerはCitrixに対し、CitrixBleed 2の悪用状況に関する最新情報があるか問い合わせており、声明が得られ次第、本記事を更新します。