Citrixは火曜日、NetScaler ADCおよびGatewayに存在する3件の脆弱性に対するパッチを公開しました。その中には、実際に悪用された重大度の高いゼロデイ脆弱性も含まれています。
悪用されたバグはCVE-2025-7775(CVSSスコア9.2)として追跡されており、メモリオーバーフローの問題で、サービス拒否(DoS)状態を引き起こす可能性があります。このセキュリティ欠陥は、リモートコード実行(RCE)にもつながる可能性があります。
Citrixによると、この脆弱性は、ゲートウェイまたはAAA仮想サーバーとして構成されたNetScalerインスタンス、またはHDXタイプのCR仮想サーバーで構成されたインスタンスに影響します。
IPv6サービスまたはIPv6サーバーにバインドされたサービスグループ、DBS IPv6サービスまたはIPv6 DBSサーバーにバインドされたサービスグループを持つ特定のNetScalerバージョンも影響を受けます。
「2025年8月26日現在、Cloud Software Groupは、未対策のアプライアンスに対してCVE-2025-7775の悪用が観測されたと考えており、潜在的な悪用から保護するための緩和策が存在しないため、修正を含むバージョンへのNetScalerファームウェアのアップグレードを強く推奨します」とCitrixはアラートで述べています。
この大手テクノロジー企業は、観測された攻撃や侵害の兆候(IOC)についての詳細は共有していませんが、米国サイバーセキュリティ庁(CISA)はこのCVEを既知の悪用脆弱性(KEV)カタログに即座に追加し、早急なパッチ適用を促しています。
拘束運用指令(BOD)22-01により、連邦機関は通常、KEVに新たに追加されたセキュリティ欠陥の修正に3週間の猶予がありますが、CVE-2025-7775についてはわずか2日間(8月28日まで)しか与えられていませんでした。
ゼロデイに加え、Citrixは火曜日、CVE-2025-7776(CVSSスコア8.8、メモリオーバーフローによる予期しない動作とDoS)、およびCVE-2025-8424(CVSSスコア8.7、NetScalerの管理インターフェースの不適切なアクセス制御により特定ファイルへの不正アクセスが可能となる)へのパッチも発表しました。
広告。スクロールして続きをお読みください。
これら3つの問題は、NetScaler ADCおよびNetScaler Gatewayのバージョン14.1-47.48、13.1-59.22、13.1-FIPSおよび13.1-NDcPP 13.1-37.241、12.1-FIPSおよび12.1-NDcPP 12.1-55.330で解決されています。
アドバイザリの中で、CitrixはNetScaler ADCおよびNetScaler Gatewayのバージョン12.1および13.0はサポート終了となっており、今後サポートされないため、できるだけ早くサポートされているリリースへの移行を促しています。
関連記事: 悪用されたGit脆弱性について組織に警告
関連記事: ICSパッチチューズデー:主要ベンダーがコード実行脆弱性に対応
翻訳元: https://www.securityweek.com/citrix-patches-exploited-netscaler-zero-day/