コンテンツにスキップするには Enter キーを押してください

Citrix Bleed 2の脆弱性、攻撃で悪用されている可能性が浮上

投稿日 2025年6月28日

Image

サイバーセキュリティ企業ReliaQuestによると、「Citrix Bleed 2」(CVE-2025-5777)と呼ばれる重大なNetScaler ADCおよびGatewayの脆弱性が、Citrixデバイス上で不審なセッションの増加が見られることから、現在攻撃で悪用されている可能性が高いとされています。

Citrix Bleed 2は、サイバーセキュリティ研究者のKevin Beaumont氏によって命名され、元のCitrix Bleed(CVE-2023-4966)と類似していることからその名が付けられました。この脆弱性は、認証されていない攻撃者が通常アクセスできないメモリ領域にアクセスできる、アウトオブバウンズメモリリードの脆弱性です。

これにより、攻撃者はセッショントークンや認証情報、その他の機密データをパブリックに公開されたゲートウェイや仮想サーバーから盗み出し、ユーザーセッションの乗っ取りや多要素認証(MFA)の回避が可能になります。

Citrixのアドバイザリもこのリスクを認めており、セキュリティアップデート適用後は、乗っ取られたセッションへのアクセスを防ぐため、すべてのICAおよびPCoIPセッションを終了するようユーザーに警告しています。

この脆弱性(CVE-2025-5777)は、Citrixによって2025年6月17日に修正され、当初は悪用の報告はありませんでした。しかし、Beaumont氏は今週初め、悪用される可能性が非常に高いと警告していました

現在、ReliaQuestは中程度の確信をもって、CVE-2025-5777が標的型攻撃で既に利用されていると述べており、研究者の懸念が裏付けられた形となっています。

「CVE-2025-5777(通称“Citrix Bleed 2”)の公的な悪用は報告されていませんが、ReliaQuestは攻撃者がこの脆弱性を積極的に悪用し、標的環境への初期アクセスを得ていると中程度の確信をもって評価しています」とReliaQuestは警告しています

この結論は、最近観測された実際の攻撃から以下の点に基づいています:

  • ユーザーの操作なしに認証が許可されたCitrixウェブセッションの乗っ取りが観測され、攻撃者が盗まれたセッショントークンを使ってMFAを回避したことを示しています。
  • 攻撃者が正規および不審なIPアドレスの両方で同じCitrixセッションを再利用しており、セッションハイジャックや不正なソースからのリプレイが示唆されています。
  • アクセス後にLDAPクエリが実行され、攻撃者がActive Directoryの偵察を行い、ユーザーやグループ、権限のマッピングを試みていることが分かります。
  • ADExplorer64.exeが複数のシステムで実行され、ドメイン偵察や複数のドメインコントローラーへの接続試行が協調的に行われていることが示されています。
  • CitrixセッションがDataCampなどのコンシューマー向けVPNプロバイダーに関連するデータセンターIPから発生しており、攻撃者が匿名化インフラを使って身元を隠していることが示唆されます。

上記は、Citrixへの不正アクセス後のポストエクスプロイト活動と一致しており、CVE-2025-5777が実際に悪用されているという評価を裏付けています。

このような活動から身を守るため、影響を受ける可能性のあるユーザーは、脆弱性を修正したバージョンである14.1-43.56+、13.1-58.32+、または13.1-FIPS/NDcPP 13.1-37.235+へアップグレードする必要があります。

最新のファームウェアをインストールした後、管理者はすべてのアクティブなICAおよびPCoIPセッションを終了してください。これらは既に乗っ取られている可能性があります。

アクティブなセッションを終了する前に、管理者はshow icaconnectionコマンドやNetScaler Gateway > PCoIP > Connectionsを使って、不審な活動がないかまず確認してください。

アクティブなセッションを確認した後、以下のコマンドでセッションを終了できます:

kill icaconnection -all
kill pcoipconnection -all

すぐにセキュリティアップデートを適用できない場合は、ネットワークACLやファイアウォールルールを使って外部からのNetScalerへのアクセスを制限することが推奨されます。

CVE-2025-5777が実際に悪用されているかどうかについての質問に対し、Citrixは昨日公開されたブログ記事を参照するよう回答し、悪用の兆候は見られないと述べています。

「現時点では、CVE-2025-5777の悪用を示す証拠はありません」とCitrixの投稿には記載されています。

しかし、もう一つのCitrixの脆弱性であるCVE-2025-6543は攻撃で悪用されており、NetScalerデバイスでサービス拒否状態(DoS)を引き起こしています。

Citrixによると、この脆弱性とCVE-2025-5777は同じモジュール内にありますが、異なるバグであるとしています。

2025年6月27日更新:Citrixのブログ記事に関する情報を追加しました。


Tines Needle

ITチームが手動パッチ管理をやめる理由

かつてパッチ適用は複雑なスクリプトや長時間の作業、終わりのない緊急対応を意味していました。今は違います。

この新しいガイドで、Tinesは現代のIT組織が自動化によってどのようにレベルアップしているかを解説します。パッチ適用を迅速化し、オーバーヘッドを削減し、戦略的な業務に集中できます――複雑なスクリプトは不要です。

翻訳元: https://www.bleepingcomputer.com/news/security/citrix-bleed-2-flaw-now-believed-to-be-exploited-in-attacks/

Published in bleepingcomputer.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です