米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は月曜日、実際に悪用されている証拠があるとして、4つのセキュリティ脆弱性を既知の悪用脆弱性(KEV)カタログに追加しました。
脆弱性の一覧は以下の通りです:
- CVE-2014-3931(CVSSスコア:9.8)- Multi-Router Looking Glass(MRLG)におけるバッファオーバーフローの脆弱性。リモート攻撃者が任意のメモリ書き込みやメモリ破損を引き起こす可能性がある。
- CVE-2016-10033(CVSSスコア:9.8)- PHPMailerにおけるコマンドインジェクションの脆弱性。攻撃者がアプリケーションのコンテキスト内で任意のコードを実行したり、サービス拒否(DoS)状態を引き起こしたりする可能性がある。
- CVE-2019-5418(CVSSスコア:7.5)- Ruby on RailsのAction Viewにおけるパストラバーサルの脆弱性。ターゲットシステムのファイルシステム上の任意のファイル内容が漏洩する可能性がある。
- CVE-2019-9621(CVSSスコア:7.5)- Zimbra Collaboration Suiteにおけるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性。内部リソースへの不正アクセスやリモートコード実行につながる可能性がある。
最初の3つの脆弱性が実際の攻撃でどのように悪用されているかについては、現在公的な報告はありません。一方、CVE-2019-9621の悪用については、2023年9月にTrend Microが、中国に関連する脅威アクターEarth LuscaによるWebシェルやCobalt Strikeの設置と関連付けています。
積極的な悪用が確認されていることから、連邦民間行政機関(FCEB)には、2025年7月28日までに必要なアップデートを適用し、ネットワークを保護することが推奨されています。
Citrix Bleed 2 Outの技術的詳細#
この動きは、watchTowr LabsおよびHorizon3.aiが、Citrix NetScaler ADCにおける重大なセキュリティ脆弱性(CVE-2025-5777、通称Citrix Bleed 2)について、技術分析を公開したことを受けたものです。この脆弱性は、積極的に悪用されていると考えられています。
「CVE-2025-5777とCVE-2025-6543の両方が実際に悪用されているのを確認しています」と、watchTowrのCEOであるBenjamin Harris氏はThe Hacker Newsに語りました。「この脆弱性によりメモリの読み取りが可能となり、攻撃者は機密情報(例えば、HTTPリクエスト内で送信され、その後メモリ上で処理される情報)、認証情報、有効なCitrixセッショントークンなどを読み取っていると考えられます。」
調査結果によると、「/p/u/doAuthentication.do」エンドポイントにログインリクエストを送信することで(およびこの脆弱性の影響を受ける他のエンドポイントでも)、成功・失敗に関わらず、ユーザーが入力したログイン値がレスポンスに反映されることが判明しています。
Horizon3.aiは、この脆弱性を利用することで、修正された「login=」パラメータ(イコール記号や値なし)を含む特別に細工されたHTTPリクエストを送信し、約127バイトのデータを漏洩させることができると指摘しています。これにより、セッショントークンやその他の機密情報を抽出することが可能となります。
watchTowrによれば、この問題はsnprintf関数と「%.*s」フォーマット文字列の併用に起因しています。
「%.*s フォーマットはsnprintfに『最大N文字まで、または最初のヌルバイト(\0)が現れるまで出力せよ』と指示します。そのヌルバイトはメモリ上のどこかに現れるため、漏洩は無限に続くわけではありませんが、呼び出しごとにいくらかのバイトが得られます」と同社は述べています。
「つまり、イコール記号なしでそのエンドポイントにアクセスするたびに、初期化されていないスタックデータがレスポンスに引き込まれます。これを十分な回数繰り返せば、最終的に価値のある情報にたどり着く可能性があります。」
翻訳元: https://thehackernews.com/2025/07/cisa-adds-four-critical-vulnerabilities.html