Citrixは本日、NetScaler ADCおよびNetScaler Gatewayの3つの脆弱性を修正しました。その中には、ゼロデイ脆弱性として実際に攻撃で悪用されていた、CVE-2025-7775として追跡されている重大なリモートコード実行(RCE)脆弱性も含まれています。
CVE-2025-7775の脆弱性は、認証されていないリモートコード実行につながる可能性のあるメモリオーバーフローのバグです。
本日公開されたアドバイザリで、Citrixはこの脆弱性が未修正のデバイスに対する攻撃で悪用されていることが確認されたと述べています。
「2025年8月26日現在、Cloud Software Groupは、未対策のアプライアンスに対してCVE-2025-7775の悪用が観測されたと考えており、潜在的な悪用から保護するための緩和策が存在しないため、修正を含むバージョンへのNetScalerファームウェアのアップグレードを強く推奨します。」と本脆弱性に関するブログ記事に記載されています。
Citrixは、侵害の兆候やデバイスが悪用されたかどうかを判断するためのその他の情報は共有していませんが、以下のいずれかの構成で設定されているデバイスが脆弱であるとしています:
- NetScalerがGateway(VPN仮想サーバー、ICA Proxy、CVPN、RDP Proxy)またはAAA仮想サーバーとして設定されている
- NetScaler ADCおよびNetScaler Gateway 13.1、14.1、13.1-FIPS、NDcPP:IPv6サービスまたはIPv6サーバーにバインドされた(HTTP、SSL、HTTP_QUIC)タイプのLB仮想サーバー
- NetScaler ADCおよびNetScaler Gateway 13.1、14.1、13.1-FIPS、NDcPP:DBS IPv6サービスまたはIPv6 DBSサーバーにバインドされた(HTTP、SSL、HTTP_QUIC)タイプのLB仮想サーバー
- タイプHDXのCR仮想サーバー
本日公開されたアドバイザリでは、上記のいずれかの構成がNetScalerデバイスで使用されているかどうかを確認するための設定方法も共有されています。
BleepingComputerは、CVE-2025-7775の悪用についてCitrixおよびCloud Software Groupに問い合わせており、回答があれば本記事を更新します。
RCE脆弱性に加え、本日のアップデートでは、サービス拒否(DoS)につながる可能性のあるメモリオーバーフロー脆弱性(CVE-2025-7776)およびNetScaler管理インターフェースにおける不適切なアクセス制御(CVE-2025-8424)にも対応しています。
これらの脆弱性は以下のバージョンに影響します:
- NetScaler ADCおよびNetScaler Gateway 14.1 14.1-47.48より前のバージョン
- NetScaler ADCおよびNetScaler Gateway 13.1 13.1-59.22より前のバージョン
- NetScaler ADC 13.1-FIPSおよびNDcPP 13.1-37.241-FIPSおよびNDcPPより前のバージョン
- NetScaler ADC 12.1-FIPSおよびNDcPP 12.1-55.330-FIPSおよびNDcPPより前のバージョン
緩和策が存在しないため、Citrixは管理者に対しできるだけ早く最新のアップデートをインストールすることを「強く推奨」しています。
Citrixによると、これらの脆弱性はHorizon3.aiのJimi Sebree氏、Schramm & PartnerforのJonathan Hetzer氏、François Hämmerli氏によって報告されました。ただし、誰がどのバグを発見したかは明らかにされていません。
6月には、CitrixがCVE-2025-5777として追跡され、「Citrix Bleed 2」と呼ばれる範囲外メモリ読み取り脆弱性を公開しました。この脆弱性は、攻撃者がメモリ内に保存された機密情報へアクセスできるものです。
この脆弱性は、Citrixが当時攻撃の証拠はないと述べていたにもかかわらず、概念実証(PoC)エクスプロイトが7月に公開されるほぼ2週間前から積極的に悪用されていました。
