米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は木曜日、Citrix NetScaler ADCおよびGatewayに影響を与える重大なセキュリティ脆弱性を、その既知の悪用済み脆弱性(KEV)カタログに追加し、この脆弱性が実際に悪用されていることを公式に確認しました。
問題となっているのはCVE-2025-5777(CVSSスコア: 9.3)で、入力検証が不十分なため、攻撃者がGatewayまたはAAA仮想サーバーとして構成されたアプライアンスで認証をバイパスできる可能性があります。これは、Citrix Bleed(CVE-2023-4966)と類似していることからCitrix Bleed 2とも呼ばれています。
「Citrix NetScaler ADCおよびGatewayには、入力検証の不十分さに起因する範囲外読み取りの脆弱性が存在します」と同庁は述べています。「この脆弱性は、NetScalerがGateway(VPN仮想サーバー、ICAプロキシ、CVPN、RDPプロキシ)またはAAA仮想サーバーとして構成されている場合、メモリの過剰読み取りを引き起こす可能性があります。」
複数のセキュリティベンダーがこの脆弱性が実際の攻撃で悪用されていると報告していますが、Citrixは自社のアドバイザリをまだ更新していません。2025年6月26日時点で、NetScalerのエンジニアリング担当シニアバイスプレジデントであるAnil Shetty氏は「CVE-2025-5777が悪用された証拠はない」と述べています。
しかし、セキュリティ研究者のKevin Beaumont氏は今週公開したレポートで、Citrix Bleed 2の悪用は6月中旬にはすでに始まっていたと述べており、攻撃を行っているIPアドレスの1つは以前RansomHubランサムウェア活動と関連付けられていたと指摘しています。
GreyNoiseのデータによると、過去30日間で、ブルガリア、米国、中国、エジプト、フィンランドに所在する10個のユニークな悪意あるIPアドレスから悪用の試みが発生しています。これらの攻撃の主な標的は、米国、フランス、ドイツ、インド、イタリアです。
CVE-2025-5777がKEVカタログに追加されたのは、同じ製品の別の脆弱性(CVE-2025-6543、CVSSスコア: 9.2)も実際に悪用されていることが判明したタイミングです。CISAは2025年6月30日にこの脆弱性もKEVカタログに追加しました。
「『Citrix Bleed』という用語は、同じペイロードを繰り返し送信することでメモリリークを何度も引き起こせることから使われています。各試行ごとに新たなスタックメモリの断片が漏洩し、実質的に機密情報が“出血”する形となります」とAkamaiは述べており、エクスプロイトの詳細が公開された後、「脆弱性スキャナーのトラフィックが劇的に増加している」と警告しています。
「この脆弱性は、影響を受けるデバイスがVPN、プロキシ、またはAAA仮想サーバーとして構成される可能性があることを考えると、重大な結果をもたらす可能性があります。セッショントークンやその他の機密データが漏洩し、不正に内部アプリケーション、VPN、データセンターネットワーク、内部ネットワークへのアクセスを許す可能性があります。」
これらのアプライアンスはしばしば企業ネットワークへの集中型エントリーポイントとして機能しているため、攻撃者は盗まれたセッションからシングルサインオンポータル、クラウドダッシュボード、または特権管理者インターフェースへのアクセスに移行できます。このようなラテラルムーブメント(横方向の移動)は、足がかりからネットワーク全体へのアクセスに急速につながるため、内部セグメンテーションが弱いハイブリッドIT環境では特に危険です。
この脆弱性を緩和するため、組織はCitrixが6月17日に発表したアドバイザリに記載されているパッチ済みビルド(バージョン14.1-43.56以降など)に直ちにアップグレードする必要があります。パッチ適用後は、特にAAAやGateway経由で認証されたすべてのアクティブセッションを強制終了し、盗まれたトークンを無効化してください。
管理者はまた、/p/u/doAuthentication.doなどの認証エンドポイントへの不審なリクエストについてログ(例: ns.log)を確認し、<InitialValue>フィールドのような予期しないXMLデータのレスポンスを調査することが推奨されます。この脆弱性はメモリの過剰読み取りであるため、従来型のマルウェアの痕跡は残らず、トークンの乗っ取りやセッションリプレイが最も緊急の懸念事項となります。
この動きはまた、重大なセキュリティ脆弱性がOSGeo GeoServer GeoTools(CVE-2024-36401、CVSSスコア: 9.8)でアクティブに悪用され、PowerShellやシェルスクリプトを用いて韓国を標的とした攻撃でNetCatやXMRig仮想通貨マイナーが展開されているという報告を受けてのものでもあります。CISAは2024年7月にこの脆弱性もKEVカタログに追加しました。
「脅威アクターは、WindowsやLinuxを含む脆弱なGeoServerインストール環境を標的とし、NetCatやXMRigコインマイナーをインストールしています」とAhnLabは述べています。
「コインマイナーがインストールされると、システムのリソースを使って脅威アクターのMoneroコインをマイニングします。脅威アクターは、インストールしたNetCatを利用して他のマルウェアのインストールやシステムからの情報窃取など、さまざまな悪意ある行為を行うことができます。」
翻訳元: https://thehackernews.com/2025/07/cisa-adds-citrix-netscaler-cve-2025.html