WatchTowrの研究者が、CitrixBleed 2脆弱性の悪用を特定するために使用できる検出スクリプトの技術的詳細を公開しました。
この脆弱性はCVE-2025-5777として追跡されており、Citrix NetScaler ADCおよびGatewayデバイスのバージョン14.1から47.46の間に影響を与える、重大なアウトオブバウンズリード(CVSSスコア:9.3)です。
悪用されると、攻撃者は多要素認証(MFA)を含む認証メカニズムをバイパスし、ユーザーセッションを乗っ取ることができます。
この脆弱性は、アクセス制御の問題であるCVE-2025-5349とともに、6月17日にCitrixによって公開されました。
6月26日、ReliaQuestはレポートを発表し、「中程度の確信をもって」攻撃者がCVE-2025-5777を積極的に悪用し、標的環境への初期アクセスを得ていると主張しました。
PoC(概念実証)エクスプロイトの公開で知られるWatchTowrは当初、CitrixBleed 2エクスプロイトの技術的詳細の公開を控えると述べていました。その主な理由は、「かなりの割合」のCitrix Netscalerデバイスがまだパッチを適用していないことを同社が観測していたためです。
しかしその後、WatchTowrは、侵害の兆候(IoC)や悪用アーティファクトなどの情報共有が最小限にとどまっており、Citrix NetScalerユーザーが内部アラートを上げるべきかどうか判断に苦しんでいると述べました。
同社の研究者は、CitrixBleed 2を検出するための詳細な分析を7月4日に公開したレポートで発表しました。
WatchTowrは、「脆弱なアプライアンスを特定できるのが『悪い人たち』だけにならないように」分析を公開したと述べています。
Infosecurityに対し、脆弱性インテリジェンス企業Vulnersの収益責任者Andrey Lukashenkov氏は、「おそらく悪用に転用できる可能性はあるが」、WatchTowrの分析は「市販のエクスプロイトではない」と認めました。
さらにWatchTowrは、研究者が「武器化されたPoCとして機能しないが、ターゲットのCitrix Netscalerアプライアンスが脆弱かどうかを自信を持って証拠に基づいて判断できる再現ツール」を公開したと述べました。
これには「検出されないアーティファクトジェネレーター」も含まれており、防御側が実際の脅威を模倣しつつも本質的に悪意のない無害またはシミュレートされた攻撃アーティファクトを生成することで、検出能力のテストと向上を支援するツールです。
以下は、WatchTowrによるCitrixBleed 2悪用の攻撃実行プロセスの内訳です:
- 悪意のあるリクエスト送信:攻撃者は、Citrix Gatewayのログインエンドポイントに対して、メモリ管理の欠陥を悪用するようにログインパラメータを変更した巧妙に構築されたHTTP POSTリクエストを送信します。
- 機密データを含むサーバー応答:サーバーは特定のタグを含むXMLレスポンスを返します。システムが脆弱な場合、不適切な処理によりこのタグに初期化されていないメモリ内容が漏洩する可能性があります。
- セッショントークンの抽出と悪用:これらのリクエストを繰り返し送信することで、攻撃者はメモリ内に保存された機密セッショントークンを漏洩させることができます。成功すれば、セッションハイジャックやMFAバイパスが可能となり、不正アクセスが許可される恐れがあります。
翻訳元: https://www.infosecurity-magazine.com/news/citrixbleed-2-detection-analysis/