米国サイバーセキュリティ機関CISAは、2023年の悪名高いCitrixBleed脆弱性と比較される、最近公開されたCitrix NetScalerの脆弱性に対し、緊急の注意を呼びかけています。
CVE-2025-5777(CVSSスコア9.3)として追跡されているこのセキュリティ欠陥は、6月17日に公開され、Citrixが修正パッチを提供し、境界外メモリの読み取りに悪用される可能性があると警告しました。
この脆弱性は、セキュリティ研究者Kevin Beaumontが広く悪用されたCVE-2023-4966(通称CitrixBleed)と比較したことから、CitrixBleed 2と呼ばれています。
すべてのNetScaler ADCおよびNetScaler GatewayのゲートウェイまたはAAA仮想サーバーとして構成された導入に影響し、不正なログインリクエストを利用して、アプライアンスがメモリ内容の一部を返すことでこのセキュリティ欠陥が引き起こされます。
攻撃者はNetScalerの認証エンドポイントに繰り返しリクエストを送信することで、追加のメモリ内容を取得できると、サイバーセキュリティ企業watchTowrおよびHorizon3.aiが技術的な解説記事で明らかにしています。
漏洩した情報にはセッショントークンが含まれる可能性があり、これを利用してセッションの乗っ取りや多要素認証の回避が可能となります。
6月下旬、CitrixはReliaQuestが発した「ハッカーがすでにこのセキュリティ欠陥を悪用し始めている」という警告に異議を唱えましたが、CISAはこの脆弱性を既知の悪用済み脆弱性(KEV)カタログに追加した後、CVE-2025-5777が組織にもたらす重大なリスクについて警告しています。
連邦機関は通常、KEVに新たに追加された脆弱性について3週間以内に対応する必要がありますが、今回のセキュリティ欠陥については1日以内の対応が求められました。
広告。スクロールして続きをお読みください。
「Citrix NetScaler ADCおよびGatewayシステムにおけるこの脆弱性(Citrix Bleed 2とも呼ばれる)は、連邦民間企業のセキュリティにとって重大かつ容認できないリスクをもたらします」と、CISAサイバーセキュリティ担当代理執行副局長Chris Butera氏はSecurityWeekに語りました。
「米国のサイバー防衛機関として、また連邦民間サイバーセキュリティの運用リーダーとして、CISAは各機関に24時間以内のパッチ適用を指示し、すべての組織に直ちにパッチ適用を強く推奨しています」とButera氏は続けました。
CitrixBleed 2のパッチは、NetScaler ADCバージョン14.1-43.56、13.1-58.32、13.1-FIPS、13.1-NDcPP 13.1-37.235、12.1-FIPS 12.1-55.328、およびNetScaler Gatewayバージョン14.1-43.56、13.1-58.32に含まれています。
The Shadowserver Foundationのデータによると、インターネットに接続可能なNetScalerインスタンスのうち400以上がこのCVEに対して未修正のままです。さらに、約500の導入環境が、CVE-2025-6543(CVSSスコア9.2)として追跡される別の重大な問題の影響を受けており、これはゼロデイとして悪用されました。
関連記事: Wing FTP Serverの重大な脆弱性が悪用される
関連記事: CISA、TeleMessageの2つの脆弱性悪用を警告
翻訳元: https://www.securityweek.com/citrixbleed-2-flaw-poses-unacceptable-risk-cisa/