NetScalerに影響を与えるCitrix Bleed 2脆弱性のエクスプロイト詳細が公開

このことにより、攻撃者が標的としている脆弱性がCVE-2025-5777なのかCVE-2025-6543なのか、あるいは両方なのか、セキュリティコミュニティの間で混乱が生じています。CVE-2025-6543のIoCはCitrix Cloud Software Groupからリクエストに応じて提供されていますが、CVE-2025-5777については今週までそのような情報はありませんでした。Citrixはこれまでアクティブなエクスプロイトの証拠を確認していなかったためです。

セキュリティ企業watchTowrおよびHorizon3.aiの研究者たちは、それぞれ独自にパッチをリバースエンジニアリングし、混乱の中で組織が検知を開発できるようにと、CVE-2025-5777であると考えられる脆弱性の分析とIoCを公開しました。

「私たちは舞台裏で積極的に活動し、watchTowr Platformのユーザーベースや、当社の技術に依存して迅速に自らのリスクを判断する多くの業界団体と情報や再現手順を共有してきました」とwatchTowrの研究者は詳細なレポートの中で述べています。「IoCやエクスプロイトのアーティファクト、その他Citrix NetScalerのエンドユーザーに役立つ情報の共有は…『最小限』であると認識しており、これがユーザーが内部で警戒を発する必要があるかどうか判断する際に困難な状況を生んでいます。」

別のレポートで、Horizon3の研究者は次のように述べています。「これらの問題のうち1つに対して動作するエクスプロイトを開発しましたが…アドバイザリの技術的詳細が乏しいため、どちらがどちらか判断するのは難しいです。とはいえ、問題の説明、Citrix Bleedとの類似点、テストに利用できたCitrix NetScalerのバージョンから、CVE-2025-5777に対する動作するエクスプロイトを開発できたと考えています。また、これらのリリースで意図せずパッチされた他の関連問題を偶然発見した可能性も十分にあります。」

元のCitrix Bleedとの類似点

CVE-2025-5777は、2023年10月に修正されたゼロデイ情報漏洩脆弱性（CVE-2023-4966）との類似性からCitrix Bleed 2と名付けられました。この脆弱性は、攻撃者がメモリからセッショントークンを漏洩させ、多要素認証をバイパスしてセッションを乗っ取ることを可能にしたため、Citrix Bleedと呼ばれました。

同様に、CVE-2025-5777は、doAuthentication.doという特定のWebアプリケーションエンドポイントに細工したHTTPリクエストを送信することでメモリのオーバーリード状態を引き起こす可能性があります。これにより、内部メモリが127バイトずつ漏洩し、認証トークンや他の機密情報が含まれる可能性があります。

watchTowrの研究者はテスト中、漏洩した内容の中に認証クッキーやセッションID、パスワードは見つけられませんでしたが、ユーザー接続数が多い本番環境のアプライアンスでは状況が異なる可能性が高いと指摘しています。一方、Horizon3の研究者は、テスト用アプライアンスでエクスプロイトを長時間実行することで、実際のユーザーセッショントークンを取得することができました。

「これは通常のユーザーがアクセスできるエンドポイントだけに限定されません」とHorizon3の研究者は記しています。「NetScaler Gatewayエンドポイントを管理するために管理者が利用する設定ユーティリティもこのメモリ領域を利用しているため、これらのトークンも盗難のリスクがあります。」

この脆弱性は、NetScaler ADC（旧Citrix ADC）およびNetScaler Gateway（旧Citrix Gateway）がゲートウェイ（VPN仮想サーバー、ICAプロキシ、CVPN、RDPプロキシ）または認証・認可・監査（AAA）サーバーとして構成されている場合に影響します。パッチの適用以外に手動での回避策や緩和策はありません。まだ更新していない組織は、リリースブランチ向けの最新ビルドを導入する必要があります。これには、実際に悪用が確認されているCVE-2025-6543の修正も含まれます。

侵害の検知

IoCに関して、Horizon3の研究者は、ns.logに非表示文字（印刷できない文字）が含まれるログエントリを探すことを推奨しています。これは何か異常が起きている良い指標となります。

「Citrixのアドバイザリでは既存のICAおよびPCoIPセッションの終了が推奨されており、これらの機能に関連するエンドポイントが標的になっていると考えています」とHorizon3の研究者は結論付けています。「これらのログエントリにも、漏洩したメモリの内容が含まれている可能性があり、それにはセッショントークンが含まれる場合と含まれない場合があります。」

管理者は、アプライアンス上のすべてのアクティブなセッションを監査することも推奨されています。これは「NetScaler Gateway -> Active User Sessions -> 適用するコンテキストを選択 -> 続行」からインターフェース上で、またはコマンドラインでshow sessionsやshow <service> sessionコマンドで実行できます。

アプライアンスが侵害された場合、攻撃者はバックドアアカウントの追加、アプライアンス設定のダンプや永続化メカニズムによる変更、リモートアクセスツールの展開など、元のCitrix Bleedの悪用時と同様の行動を取る可能性が高いです。

このような変更はログに記録されるはずですが、研究者は管理者セッションや認証情報が侵害された場合、攻撃者がログ設定自体を変更できることを警告しています。

「設定バックアップがある場合、show ns runningConfig -withDefaultsで現在の稼働中の設定を表示し、既知の良好なバックアップとdiff -u backup.config current.configなどの差分ツールで比較するのが良い出発点です」とHorizon3の研究者は述べています。

一方、watchTowrの研究者は、NetScalerアプライアンスがこの脆弱性に対して悪用可能かどうかを判断するためのスキャンスクリプト作成に利用できる、概念実証のHTTPリクエストとレスポンスを公開しました。