Citrix NetScalerの脆弱性、世界的な影響の可能性

攻撃者はCitrix NetScalerの脆弱性を悪用し、特にオランダを中心に、重要な組織への侵入を行っていますが、おそらく他国でも同様の被害が発生しています。

オランダ国家サイバーセキュリティセンター（NCSC）は、脅威アクターが「高度な」リモートコード実行（RCE）や分散型サービス拒否（DDoS）攻撃を仕掛けることを可能にするメモリオーバーフローのバグによる脆弱性を追跡しています。

主な懸念は任意コード実行の脆弱性であり、NCSCは複数の侵害事例でこれを特定したと、Johannes Ullrich氏（SANS Institute研究部門長）は述べています。NCSCはこれらの攻撃を国内で観測しましたが、「オランダのデバイスに特別な点はありません」と同氏は言います。「脆弱なデバイスであれば、どこでも同様の攻撃を受ける可能性があります。」

「極めて懸念される」脆弱性は6週間以上前に特定されていた

Citrixシステムデバイスの脆弱性（CVE-2025-6543）は、少なくとも5月初旬から悪用されていたと考えられています。同社は6月25日にパッチを公開し、以下のNetScalerバージョンが脆弱であると特定しました：

• 14.1（14.1-47.46未満）
• 13.1（13.1-59.19未満）
• 13.1-FIPSおよび13.1-NDcPP（13.1-37.236未満）
• 12.1および13.0（いずれもサポート終了済み）

NCSCはこの脆弱性および他の2件（CVE-2025-5349、CVE-2025-5777）の悪用を調査し、攻撃者がリモートアクセスを得るために設置した悪意のあるウェブシェル（コード片）をデバイス内で発見しました。

NCSCは、これらの攻撃が「一人または複数のアクターによる高度な手法」であると特定しています。この脆弱性はゼロデイとして、公開前から悪用されており、侵害の痕跡は「積極的に消去」されていました。同機関は、どの組織が侵害されたのか、また脅威アクターが依然として活動中かどうかについて「依然としてかなりの不確実性がある」と述べています。

「パッチが適用されていない場合、ハッカーは実際にデバイスをクラッシュさせ、DoS攻撃を引き起こすことができます」とErik Avakian氏（Info-Tech Research Groupテクニカルカウンセラー）は説明します。これによりデバイスが動作しなくなり、サービスが通常通り機能しなくなります。「この種のサービス拒否が発生すると、VPNやリモートアプリケーション、その他保護対象のサービスが誰も利用できなくなります。」

さらに、この脆弱性によりハッカーが影響を受けたNetScaler機器上で独自のコードを実行できる可能性があります。RCEによる侵害が成功すると、ハッカーはバックドアの設置、データの窃取、偽のユーザーアカウントの作成、さらにはデバイス自体を使って他者への攻撃も可能になるとAvakian氏は説明します。

「要するに、正門の警備員がノックアウトされ、その制服を着た偽物にすり替えられるようなものです」と彼は述べています。

パッチ適用だけでは不十分

NCSCおよびセキュリティ専門家は、パッチ適用だけでは問題が解決しないと指摘しています。

「これらのスクリプトは攻撃者にデバイスへの完全なアクセスを与える可能性があり、パッチ適用後も残る場合があります」とSANSのUllrich氏は述べています。「組織がパッチを適用して終わりにしてしまうと、デバイスがすでに侵害されており、攻撃者が依然としてアクセスできることを見逃すかもしれません。」

これは最近繰り返し見られる傾向であり、例えばSonicWallデバイスもパッチ適用後に容易に再侵害されたと同氏は指摘しています。

「組織内で公開されている未パッチのデバイスが、悪用が始まる前にパッチされていなかった場合は、侵害されていると想定すべきです」とUllrich氏は述べています。

NCSCは、企業が侵害されたデバイスや関連リスクを特定するためのスクリプトをGitHubページで公開しています。企業はNetScaler ADCおよびNetScaler Gateway 14.1（14.1-47.46以降）、13.1-59.19以降、ADC 13.1-FIPSおよび13.1-NDcPP 13.1-37.236以降の最新セキュリティアップデートを適用すべきです。

その後、以下のコマンドで持続的かつアクティブなセッションを終了することを推奨しています：

• kill icaconnection -all
• kill pcoipConnection -all
• kill aaa session -all
• kill rdp connection -all
• clear lb persistentSessions

さらに、「多層防御」の導入など、複数レベルのセキュリティ対策を実施することを推奨しています。組織は侵害の兆候（IoC）を発見した場合、調査も行うべきです。

「なぜオランダ以外の国も関心を持つべきかというと、この脆弱な炭鉱で最初に死んだカナリアがオランダだっただけだからです」とDavid Shipley氏（Beauceron Security）は述べています。米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は6月末にこの脆弱性を既知の悪用脆弱性（KEV）カタログに追加し、連邦機関に対して1日で修正するよう指示しました。

「それでもまだパッチが適用されていないのは極めて懸念すべきことであり、Citrixは6月25日にパッチとアドバイザリを出していたのです」と同氏は述べています。「重要インフラでこれに対応しないのは、現時点では重大な過失に等しい…もしくは『ハッキングしてください』とウェブサイトに看板を掲げているようなものです。」

NetScalerは「用心棒であり交通整理役」

Info-TechのAvakian氏は、NetScalerが世界中の銀行、病院、政府、法律事務所など「ほぼあらゆる業界」で利用されている人気製品であると指摘します。環境内のアプリケーションやリモートアクセスツールの前面に配置され、「誰が入れるか、誰がリモートログインできるか、トラフィックの流れをどう制御するか」を管理する、用心棒であり交通整理役の役割を果たしています。

この脆弱性が公になった今、ハッカーは自動スキャンで未パッチのデバイスを探し、標的を見つけて悪用する可能性が高いと同氏は指摘します。

組織はシステムインベントリを確認し、脆弱なバージョンがないか調べ、影響を受けるシステムには直ちにパッチを適用すべきだと助言しています。NCSCの推奨通り、デバイス上の現在のセッションをすべて終了することも重要です。「これは全ユーザーと全セッションを強制的にログオフさせ、攻撃者の足場を排除することを意味します。」

IT部門はまた、IoC（侵害の兆候）、不審なファイル、不明なアカウント、異常なログインなども調査すべきです。

長期的には、迅速なパッチ適用と継続的な監視が鍵であり、インシデント対応計画やプレイブック、管理プロセスの段階的な改善・変更も重要だとAvakian氏は述べています。「システムに迅速なパッチが必要な場合に『何をすべきか』を正確に文書化・訓練し、サイバー演習を定期的に実施し、脅威動向を常に把握してください」と付け加えました。

「結論として、これは単なる局所的な問題ではありません」とAvakian氏は述べています。「これは本質的にグローバルなインターネット向けデバイスの問題のカテゴリーに入るでしょう。すでにオランダで攻撃者が利用したという事実が、その現実性を証明しています。」