「CitrixBleed 2」と呼ばれる、CVE-2025-5777として追跡されているCitrix NetScalerの重大な脆弱性は、概念実証(PoC)エクスプロイトが公開されるほぼ2週間前から積極的に悪用されていましたが、Citrixは攻撃の証拠はないと述べていました。
GreyNoiseは、2025年6月23日に中国に所在するIPアドレスからの標的型攻撃を自社のハニーポットで検知したことを確認しました。
「GreyNoiseは、Citrix NetScalerのメモリオーバーリード脆弱性であるCVE-2025-5777(CitrixBleed 2)に対する積極的な悪用試行を観測しました。悪用は6月23日から始まり、これは7月4日に公開PoCがリリースされるほぼ2週間前のことです」とGreyNoiseは説明しています。
「この活動を追跡するため、7月7日にタグを作成しました。GreyNoiseはタグ付け前のトラフィックも新しいタグと遡及的に関連付けるため、過去の悪用試行もGreyNoise Visualizerで確認できるようになっています。」
出典: BleepingComputer
GreyNoiseは7月9日、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)に対し、この脆弱性が積極的に悪用されていることを確認し、同庁はこれを既知の悪用脆弱性(KEV)カタログに追加し、連邦機関に1日以内のパッチ適用を指示しました。
これらの早期兆候や、セキュリティ研究者Kevin Beaumontによる繰り返しの警告があったにもかかわらず、CitrixはCVE-2025-5777のセキュリティアドバイザリで積極的な悪用を認めていませんでした。実際にKEVデータベースに掲載された翌日の7月11日になって、6月26日のブログ記事をひっそりと更新しただけでした。
Citrixは最終的に、7月15日にNetScalerログから侵害の兆候を評価する方法に関する別のブログ記事を公開しました。
しかし、それでも同社は透明性の欠如や、研究者がBleepingComputerに伝えたIOC(侵害の痕跡)を共有していないことで批判を受けています。
また、CitrixはなぜCVE-2025-5777の元のアドバイザリで悪用を認めていないのかというBleepingComputerの質問にも回答していません。
Citrix Bleed 2の脆弱性について
Citrix Bleed 2は、入力検証の不十分さに起因する深刻度9.3の重大な脆弱性であり、攻撃者がログイン試行時にNetScalerアプライアンスに不正なPOSTリクエストを送信できるようになります。
これは、「login=」パラメータのイコール記号を省略することで悪用され、デバイスが127バイトのメモリを漏洩します。Horizon3およびWatchTowrの研究者は、繰り返しリクエストを送ることで有効なセッショントークンなどの機密データが露出することを実証しました。
これらのトークンはCitrixセッションの乗っ取りや、内部リソースへの不正アクセスに利用される可能性があります。
セキュリティ研究者のKevin Beaumontは以前、NetScalerログ内の/doAuthentication.doへの繰り返しPOSTリクエストが、この脆弱性の悪用試行の良い指標であり、特にリクエストにContent-Length: 5ヘッダーが含まれている場合は要注意だと述べています。
他の兆候としては、ユーザー名に「#」などの異常な文字が含まれるユーザーのログオフや、メモリ内容が誤ったフィールドに出力されているログエントリなどがあります。
Beaumontはまた、Citrixのガイダンスでは侵害されたセッションを完全にクリアできないと警告しています。
Citrixはkill icaconnection -allやkill pcoipConnection -allによるICAおよびPCoIPセッションの終了を推奨していますが、Beaumontは他のセッションタイプも乗っ取られている可能性があるため、以下のコマンドで全てのセッションを終了することを推奨しています:
kill pcoipConnection -all
kill icaconnection -all
kill rdpConnection -all
kill sshConnection -all
kill telnetConnection -all
kill connConnection -all
kill aaa session -all管理者は、セッションを終了する前に全てのセッションを確認し、不審なログイン(予期しないIPアドレスの変更や不正なユーザーなど)がないかをチェックする必要があります。
Citrixの7月15日のブログ記事では、悪用の兆候を特定するための追加ガイダンスが共有されており、以下のようなメッセージがログに記録されている場合は注意が必要です:
- 「Authentication is rejected for」
- 「AAA Message」
- 非ASCIIバイト値(0x80–0xFF)
また、セッションログを手動で調査し、同一セッションで異常なIPアドレスの変更がないか確認することも重要です。例えばVPNログで、client_ipとsource IPアドレスが一致しない場合は、セッションが乗っ取られた可能性があります。
最近の投稿でBeaumontは、6月からこの脆弱性の悪用を追跡しており、すでに120社以上が被害を受けていると述べています。
「アクセスは2025年6月20日から始まり、6月21日以降、執筆時点まで増加しています」とBeaumontは警告しています。
「私が観測している活動は1つの攻撃者グループによるものかもしれませんが、他にもいる可能性があります。彼らは被害者を慎重に選び、攻撃前にNetscalerが本物かどうかをプロファイリングしており、私のハニーポットには引っかかりませんでした。」
また研究者は、Citrix自身のWeb Application Firewallでは現在CVE-2025-5777の悪用を検知できないとも警告しています。一方、Impervaの報告によれば、同社製品ではこの脆弱性の悪用試行を1,150万回以上検知しており、そのうち40%が金融業界を標的にしているとのことです。
CitrixはNetScaler ADCおよびGatewayの各バージョン向けにパッチをリリースしており、速やかなアップグレードを強く推奨しています。
パッチ適用以外の緩和策はなく、EOLバージョン(12.1および13.0)を使用している顧客はサポート対象のビルドへアップグレードする必要があります。
クラウド検知&レスポンス入門
新たな脅威をリアルタイムで封じ込め、ビジネスへの影響を未然に防ぎましょう。
クラウド検知とレスポンス(CDR)がセキュリティチームにどのような優位性をもたらすのか、この実践的かつ分かりやすいガイドで学びましょう。