当局や研究者は、複数のバージョンのCitrix NetScaler製品に影響を及ぼす重大な脆弱性のアクティブな悪用と広範なスキャンについて、警告を強めています。
現在、セキュリティ専門家の間では、この重大な脆弱性CVE-2025-5777が、Citrixが6月17日に公開したものであり、2023年に同じ製品で発見された欠陥「CitrixBleed」またはCVE-2023-4966を想起させる深刻な問題であるとの認識が広がっています。当然ながら、脅威ハンターたちは最新のCVEのエクスプロイトによって引き起こされる非常に似通った課題を評価し、阻止しようと奔走しています。
一部のCitrix顧客にとっては、警告は遅すぎました。脆弱性スキャンにより、公開から1週間以内にアクティブなエクスプロイトが発生したことが確認されており、攻撃者たちは今月初めにエクスプロイトの詳細が公開されて以来、影響を受けるデバイスの公開インスタンスを探し回っています。
「Citrix NetScaler ADCおよびGatewayシステムにおけるこの脆弱性は、CitrixBleed 2とも呼ばれ、連邦民間企業のセキュリティに重大かつ容認できないリスクをもたらします」と、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のサイバーセキュリティ担当代理執行補佐ディレクターであるChris Butera氏は声明で述べました。CISAは7月10日、このエクスプロイトを既知の悪用脆弱性カタログに追加しました。
「米国のサイバー防衛機関として、また連邦民間サイバーセキュリティの運用リーダーとして、CISAは各機関に24時間以内のパッチ適用を指示し、すべての組織に即時のパッチ適用を推奨しています」とButera氏は付け加えました。同庁は通常、「高リスク」脆弱性には30日以内、「重大リスク」脆弱性には15日以内の対応を求めています。
CVSSスコア9.3の事前認証リモートメモリ漏洩脆弱性は、世界中で攻撃の標的となるケースが増えています。Impervaの研究者は金曜日、エクスプロイト公開以降、数千のサイトを対象に1,150万回以上の攻撃試行を観測したと述べました。
「攻撃者は公開インスタンスを広範囲にスキャンし、メモリリーク脆弱性を悪用して機密データを収集しようとしているようです」とImpervaの研究者はブログで述べています。
Impervaによると、攻撃試行のほぼ5件中2件が金融サービス業界のサイトを標的とし、そのうち5件中3件が米国に拠点を置くサイトです。
GreyNoiseのスキャンでは、これまでに22のユニークな悪意あるIPがCVE-2025-5777の悪用を試みていることが観測されています。最初の悪意あるIPは6月23日に観測され、金曜日には11のユニークな悪意あるIPの急増が確認されました。
「まだ減少傾向は見られません。これはCitrixBleedと同等か、それ以上に悪質なものになる可能性があります」と、Trend MicroのZero Day Initiative脅威認識責任者Dustin Childs氏はCyberScoopに語りました。「この攻撃は非常に再現性が高く、これらのシステムはネットワーク監視がほとんど行われていません。また、定期的なアップデートもされていないため、パッチ適用が問題となるかもしれません。」
既に影響を受けたCitrix顧客の数は不明であり、被害者もまだ名乗り出ていません。
「多くの攻撃は機会的に行われているようなので、複数の脅威アクターがこのバグを利用している可能性が高いです」とChilds氏は述べています。
Citrixは、脆弱性を公開した時点ではアクティブな悪用の証拠はなかったと主張しています。同社は、6月26日のブログ投稿でCISAがアクティブな悪用の証拠を把握していると記載した以外、ほぼ3週間にわたり公に多くを共有していません。同社はコメントの要請にも応じませんでした。
6月のブログ投稿で、NetScalerのエンジニアリング担当シニアバイスプレジデントAnil Shetty氏は、CVE-2025-5777とCVE-2023-4966の比較に異議を唱えました。「両脆弱性には共通点があるものの、Cloud Software Groupは両者が関連していることを示す証拠を発見していません」とShetty氏は記しています。Cloud Software GroupはCitrixの親会社です。
研究者たちはまた、攻撃者がわずか数回のリクエストで脆弱なCitrix NetScalerインスタンスを侵害できてしまう容易さについてCitrixを批判しています。
「“CitrixBleed”という用語は、同じペイロードを繰り返し送信することでメモリリークを何度も引き起こせるために使われています。各試行で新たなスタックメモリの断片が漏洩し、結果的に機密情報が“出血”するのです」とAkamai Security Intelligence Groupはブログ投稿で述べています。
Akamaiの研究者は、この脆弱性の根本原因について「初期化されていないログイン変数、不適切なメモリ管理、入力検証の欠如、Citrix NetScalerの認証ロジックにおけるエラー処理の欠如が組み合わさったもの」と説明しています。
独立系サイバーセキュリティ研究者のZach Edwards氏はCyberScoopに対し、CVE-2025-5777とCVE-2023-4966は「影響を受けるNetScalerのバージョンの微妙な違いを除けば、非常に似ている」と語りました。
「このような事前認証の脆弱性が繰り返し発生し、完全な侵害を容易にしてしまう状況は残念です」とEdwards氏は述べました。「こうした重大な脆弱性がなぜ開発プロセスを通過してしまうのかは不明ですが、特に政府や企業分野のCitrixクライアントは、より高い要求をし、Citrixがリリース前にソフトウェアをどのようにテストしているのかについて、より多くの公的な説明を求めるべきです。」