出典: Aleksandrkozak / Shutterstock
今年初めに、NetScaler ADCおよびGatewayシステムの重大な「CitrixBleed 2」脆弱性(CVSS 9.3)や、Cisco Identity Service Engine(ISE)で追跡されている最大レベルの重大なバグ(CVE-2025-20337、CVSS 10)を急いで修正した組織は、影響を受けたシステムや、アイデンティティおよびアクセス管理システム全体を再度確認した方がよいかもしれません。
Citrixは6月にCVE-2025-5777を公表し、研究者のKevin Beaumontはその類似性からこれをCitrixBleed 2と名付けました。これは、同じNetScaler ADCおよびGatewayコンポーネントに存在する、広く悪用された情報漏洩の脆弱性である元のCitrixBleed(CVE-2023-4966)と似ているためです。Beaumontによると、攻撃者はこの脆弱性を利用して「任意のNetscalerセッションに参加したり、Citrix VDEデスクトップセッションを確立したり、アクティブなNetscaler管理者セッションを乗っ取る」ことができます。Citrixは公表およびパッチ提供時点で悪用の証拠はないと述べていましたが、Beaumontは実際には脅威アクターが1か月間ゼロデイとしてこのバグを攻撃していたと警告しています。
今週、Amazonの脅威インテリジェンスチームはBeaumontの発見を裏付け、さらにCitrixBleed 2のゼロデイ悪用活動を、Citrixが6月17日にパッチを提供する前に自社のハニーポットネットワークで発見したと発表しました。つまり、リリース直後にパッチを適用したシステムでも、すでに侵害されていた可能性があります。Amazonによると、犯人は名前が明かされていない高度持続的脅威(APT)でした。
さらに悪いことに、同チームはその後、同じ攻撃者がCisco ISEの脆弱性も同時に悪用していたことを観測しました。これは7月に公表・修正される前のことです。この脆弱性により、攻撃者は影響を受けたシステム上でroot権限による認証前リモートコード実行(RCE)が可能になります。
「この[Ciscoゼロデイの]発見が特に懸念されたのは、CiscoがCVE番号を割り当てる前や、すべての影響を受けるCisco ISEのブランチに包括的なパッチをリリースする前に、実際に野放しで悪用が行われていたことです」とAmazon Integrated Securityの最高情報セキュリティ責任者(CISO)、CJ Moses氏は記しています。「このパッチギャップ悪用手法は、セキュリティアップデートを綿密に監視し、脆弱性を迅速に武器化する高度な脅威アクターの特徴です。」
Moses氏によると、攻撃者のツールセットの高度さと、2つの異なるゼロデイの同時悪用が高価値なエンタープライズソフトウェア製品で行われたことから、CitrixとCiscoの両方のコードベースに深い技術的知見を持つ非常に熟練したアクターであることが示唆されます。
アイデンティティ&アクセス基盤への脅威アクターの関心の高まり
Cisco ISEのCVE-2025-5777およびCVE-2025-20337を標的とした悪用活動は、洗練された脅威アクターが、組織がユーザー認証やロールベースのアクセス管理、ポリシー適用をエンドポイントやクラウドアプリ、インフラ全体で担うシステムそのものを狙う傾向が高まっていることを浮き彫りにしています。例えば、APTはCisco ISEのバグを利用して、IdentityAuditActionという有効なCisco ISEコンポーネントを装ったカスタムWebシェルを展開しました。このWebシェルはCisco ISE環境向けに特化されており、攻撃者が侵害されたアプライアンスを静かに、かつ持続的に制御できるよう設計されていました。このマルウェアは完全にメモリ上で動作し、活動の痕跡を最小限に抑え、隠蔽する機能を備えています。
エンタープライズのセキュリティチームにとって、このような攻撃は特に危険です。なぜなら、攻撃者に被害環境内で広範かつほぼ検知不可能なアクセスを与えてしまう可能性があるからです。
Horizon3.aiの上級セキュリティ研究者Jimi Sebree氏は、これらの攻撃が、洗練された脅威アクターがアイデンティティおよびアクセス制御基盤のセキュリティ問題をますます悪用していることの証左だと指摘します。こうした高価値アプリケーションを狙うのは決して新しい傾向ではないとし、HeartBleedや以前のCitrixBleedを過去の例として挙げています。しかし、これらの攻撃は、特に公開されているエンドポイントの監視に関して、警戒を怠らないセキュリティ姿勢の重要性を強調しています。「すべてのセキュリティ問題が野放しで悪用される前に発見・修正されるとは限らないことが明らかになった」とSebree氏は述べています。
ReliaQuestが2025年第3四半期の脅威活動を分析した新たなレポートによると、アイデンティティ関連の問題がクラウドリスクの最大要因となっており、全ポジティブアラートの44%を占めていました。アイデンティティアラートのうち52%は権限昇格に関するものでした。ReliaQuestは、クラウドアイデンティティの99%が過剰な権限を持っていると指摘しています。
「これらのシステムを悪用することで、攻撃者は新規アカウント作成による持続性の確保、ネットワーク内の横移動、過剰権限アカウントを利用した重要システムへの昇格アクセスなど、重大な優位性を得ることができます」とReliaQuestの広報担当者はDark Readingに語っています。
組織は、過剰権限アカウントの見直しと排除、ユーザーに本当に必要な権限のみを付与することでセキュリティ態勢を強化できます。さらに、異常検知を有効化し、不審な場所や時間からの認証、重要システムへの外部アクセスなどの異常なユーザー行動を特定できるようにし、外部からのアクセスを制限すべきだと述べています。
パッチギャップ悪用
Amazonのレポートが強調したもう一つの懸念すべき傾向は「パッチギャップ」悪用です。これは、脆弱性が発見されてから完全なパッチが展開されるまでの間に攻撃者がそれを武器化するものです。「パッチ前の悪用は時間的制約があるため、最も早くパッチを当てる者ではなく、露出と検知を制御する者に優位性が移ります」とSectigoのシニアフェロー、Jason Soroko氏は述べています。「つまり、エッジやアイデンティティアプライアンスはすでに脆弱であるとみなし、被害範囲の縮小に注力し、数時間以内に有効化できる代替コントロールを準備する必要があります。」
さらに、Qualys Threat Research Unitのセキュリティリサーチマネージャー、Mayuresh Dani氏は、Amazonが発見した攻撃はCisco ISEやCitrixアプライアンスを標的とした意図的な動きの現れでもあると見ています。「Cisco ISEのインストールを侵害することで、脅威アクターはユーザーコントロールを回避し、VPN/リモートアクセスゲートウェイを制御できます」と述べています。Citrixインストールへの攻撃と組み合わせると、彼らの主な標的が境界を担うインフラであることは明らかだとしています。
Soroko氏は、組織は管理プレーンの分離、これらのサービスにアクセスできる人やものの制限、高精度のログ取得という観点で考えるべきだと提唱しています。目標は、異常な認証活動や設定変更を迅速に発見し、必要に応じてトークンの失効や鍵・証明書のローテーションを即座に行えるようにすることだと述べています。「パッチ中心の考え方から露出中心へ、予防のみから予防+迅速な検知・封じ込めへとマインドセットを変える必要があります。」
翻訳元: https://www.darkreading.com/vulnerabilities-threats/citrixbleed-2-cisco-zero-day-bugs
