ハッカーがCitrixBleed 2の脆弱性を悪用し、標的とされたCitrix NetScaler環境において、アクティブなセッショントークンを窃取し、多要素認証(MFA)を突破した上でランサムウェアを展開していることが判明しました。
Huntress Tactical Responseは、202620262026年1月から6月にかけて、互いに無関係な複数のセクターの組織に影響を及ぼした少なくとも6件の類似インシデントを調査しました。
これらの侵入は一貫して、インターネットに公開されたCitrix NetScalerゲートウェイを起点としていました。
攻撃者はその後、権限昇格、不正な管理者アカウントの作成、リモート管理ツールの展開へと段階を進め、確認されたケースのうち1件ではDragonForceランサムウェアの展開にまで至りました。
この一連の活動には、初期アクセスブローカー、あるいはランサムウェアのアフィリエイトが関与し、繰り返し使用可能な攻撃手順(プレイブック)を用いているとの見方が高い確度で示されています。なお、Sophosはこれとは別に、関連する活動をSTAC3725というクラスター名で追跡しています。
これらの攻撃はCVE-2025-5777、通称CitrixBleed 2を悪用するものです。これはGatewayまたはAAA仮想サーバーとして構成されたNetScaler ADCおよびGatewayデバイスに影響を及ぼす、認証前のメモリオーバーリード(読み過ぎ)の脆弱性です。
攻撃者がCitrixのログインエンドポイント(/p/u/doAuthentication.doを含む)に不正な形式のPOSTリクエストを送信すると、この脆弱性によりアプライアンスのメモリの断片が漏洩する可能性があります。
具体的には、攻撃者がログインパラメータを空にしたリクエストを送信することで、アプライアンスが隣接するメモリの内容を返してしまう仕組みです。
窃取されたトークンを使えば、攻撃者はパスワードを知ることもMFAを完了することもなく、すでに認証済みのユーザーセッションをリプレイ(再現)できてしまいます。
Huntressは、あるインシデントにおいて、攻撃者が制御するIPアドレスから約5時間の間に5,9375{,}9375,937件ものAAA LOGIN_FAILEDイベントを確認しました。
ログに記録されていたのは通常のログイン失敗のユーザー名ではなく、印字不能なバイナリデータであり、後の調査でこれはNetScalerのメモリから漏洩した内容であることが判明しました。
セッションハイジャックを裏付ける最も強力な証拠は、正規のユーザーが既知のIPアドレスからLDAPとMFAを用いて認証した際に確認されました。
その21分後、攻撃者が制御するIPアドレスからのログイン成功は記録されていないにもかかわらず、同一の認証済みセッションが、その攻撃者のIPアドレスからアクティブな状態になっていたのです。
これは、MFAによる保護そのものが直接突破されたわけではないことを示しています。攻撃者は、すでにMFAが完了済みのセッションからトークンを窃取し、それをリプレイしていたのです。
Huntressはさらに、アプライアンスのログの中に、漏洩した内部IPアドレスやHTTPヘッダー、X.509証明書データ、Citrixプロキシのメタデータ、その他のメモリ由来の痕跡も発見しています。
ハイジャックしたCitrixセッション経由でアクセスを獲得した後、攻撃者は多くの場合、通常ユーザーとして活動していました。その後、可搬型のローカル権限昇格ツールを使い、NT AUTHORITY\SYSTEM権限を取得していました。
この未署名のツールは、eng.exe、legal.exe、as.exe、exsym.exeといった名前で仕込まれることが多く、多くの場合temp[.]shからパスワード保護されたアーカイブとして配布されていました。Huntressはこのアーカイブのパスワードがloko123であることを突き止めたと報告しています。
注: IPアドレスおよびドメイン名は、誤ってリンクとして機能したり名前解決されたりするのを防ぐため、意図的に無害化(defang)されています(例: [.])。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいは自組織のSIEMなど、管理された脅威インテリジェンス基盤の中でのみ行ってください。
翻訳元: https://cyberpress.org/citrixbleed-2-bypasses-mfa/