オランダ国家サイバーセキュリティセンター(NCSC)は、CVE-2025-6543として追跡されているCitrix NetScalerの重大な脆弱性が、国内の「重要な組織」に対する侵害に悪用されたと警告しています。
この重大な脆弱性はメモリオーバーフローのバグで、影響を受けるデバイスで意図しない制御フローやサービス拒否(DoS)状態を引き起こす可能性があります。
「NetScaler ADCおよびNetScaler GatewayがGateway(VPN仮想サーバー、ICAプロキシ、CVPN、RDPプロキシ)またはAAA仮想サーバーとして構成されている場合に、意図しない制御フローおよびサービス拒否を引き起こすメモリオーバーフローの脆弱性です」とCitrixのアドバイザリで説明されています。
Citrixは2025年6月25日にこの脆弱性に関する通知を発行し、以下のバージョンが継続的な攻撃の対象となっていると警告しました:
- 14.1-47.46より前の14.1
- 13.1-59.19より前の13.1
- 13.1-FIPSおよび13.1-NDcPPは13.1-37.236より前
- 12.1および13.0 → サポート終了(修正なし、より新しいリリースへのアップグレード推奨)
当初、この脆弱性はサービス拒否(DoS)攻撃で悪用されていると考えられていましたが、NCSCの警告によると、攻撃者はリモートコード実行を達成するためにこれを悪用していたことが示されています。
NCSCのCVE-2025-6543に関する警告は、ハッカーがこの脆弱性を利用して国内の複数の組織に侵入し、その後、攻撃の痕跡を消去して侵害の証拠を消したことを確認しています。
「NCSCは、オランダ国内の複数の重要な組織が、Citrix NetScalerにおけるCVE-2025-6543として特定された脆弱性を通じて攻撃を受けたことを確認しました」と通知に記載されています。
「NCSCは、これらの攻撃が高度な手口を持つ一人または複数の攻撃者によるものと評価しています。この脆弱性はゼロデイとして悪用され、影響を受けた組織での侵害を隠すために痕跡が積極的に消去されました。」
ゼロデイ悪用
NCSCによると、これらの攻撃は少なくとも5月初旬から発生しており、Citrixが通知を発表しパッチを提供する約2か月前から、長期間にわたりゼロデイとして悪用されていました。
同機関は影響を受けた組織名を公表していませんが、オランダの検察庁(Openbaar Ministerie, OM)は、NCSCからの警告を受けて侵害が判明したことを7月18日に公表しました。
この組織はその結果、深刻な業務障害を被り、段階的にオンラインに復帰し、メールサーバーもようやく先週再稼働しました。
CVE-2025-6543によるリスクに対応するため、組織にはNetScaler ADCおよびNetScaler Gateway 14.1バージョン14.1-47.46以降、13.1-59.19以降、ADC 13.1-FIPSおよび13.1-NDcPPバージョン13.1-37.236以降へのアップグレードが推奨されています。
アップデートをインストールした後は、すべてのアクティブなセッションを終了することが重要です:
kill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessionsこの同じ緩和策は、CVE-2025-5777として追跡されている積極的に悪用されたCitrix Bleed 2の脆弱性にも推奨されました。この脆弱性も攻撃に悪用されたかどうか、または両方の脆弱性に対して同じアップデート手順なのかは不明です。
NCSCはシステム管理者に対し、異常なファイル作成日、異なる拡張子の重複ファイル名、フォルダ内のPHPファイルの不在など、侵害の兆候を探すよう助言しています。
サイバーセキュリティ機関はまた、異常なPHPやXHTMLファイル、その他のIOCをデバイス上でスキャンできるGitHub上のスクリプトも公開しています。
