コンテンツにスキップするには Enter キーを押してください

CitrixBleed 2:100の組織がハッキング被害、数千のインスタンスが依然として脆弱

投稿日 2025年7月18日

少なくとも100の組織が、6月中旬に修正された重大なNetScalerの脆弱性「CitrixBleed 2」の悪用によってハッキングされており、数千のインスタンスが依然として脆弱なままです。

CVE-2025–5777(CVSSスコア9.3)として追跡されているこの脆弱性は、不十分な入力検証の問題であり、攻撃者がメモリの範囲外を読み取ることを可能にする可能性があります。

セキュリティ研究者は、このバグが脆弱なNetScalerインスタンスからセッショントークンを取得するために悪用できることを実証しており、攻撃者がセッションを乗っ取りMFAをバイパスできることを示しました。CISAはこのCVEをKEVカタログに追加し、連邦機関に対して直ちにパッチを適用するよう促しています。

しかし、セキュリティ研究者のKevin Beaumont氏や脅威インテリジェンス企業GreyNoiseの新たな報告によると、このセキュリティ欠陥の野生下での悪用は、PoCコードが公開されるはるか前から始まっていました。

Citrixが6月17日にパッチをリリースした直後にCVE-2025–5777のリスクについて警告し、このバグにCitrixBleed 2と名付けたセキュリティ研究者は、悪用が6月20日から始まったと述べており、これは以前のReliaQuestの報告と一致しています。

GreyNoiseも同時期にこの脆弱性を狙った最初の攻撃を確認しており、6月24日に初めて活動を観測したと述べています。

6月26日、Citrixは悪用報告に異議を唱えるブログ記事を公開し、その後CISAがこのセキュリティ欠陥をKEVに追加した7月11日に初めて記事を更新しました。

更新された記事では、NetScaler ADCおよびNetScaler Gatewayのうち、ゲートウェイまたはAAA仮想サーバーとして構成されたデプロイメントのみが脆弱であることを改めて強調し、顧客に対してできるだけ早くパッチを適用するよう促すとともに、アップグレード後はすべてのアクティブセッションを終了し、エクスポートしないよう注意を呼びかけています。

広告。スクロールして続きをお読みください。

Beaumont氏によると、この脆弱性によりセッションクッキーが漏洩するため、パッチ適用後はすべてのセッションクッキーもクリアする必要があるとのことです。

「CitrixはCitrixBleed 2に対してすべてのセッションタイプをクリアするよう人々に伝えていないようです…これにより、パッチを適用した顧客もセッションハイジャックのリスクにさらされたままになります」とBeaumont氏は指摘しています。

観測された攻撃は、教育、金融サービス、政府、法律、テクノロジー、通信分野の組織を対象としており、100以上の被害者が出ています。

攻撃者は被害者を慎重にプロファイリングした後、ユーザーのCitrixセッションからデータを収集し、正規のMSP管理ツールを使って永続化を確立していました。少なくとも1つのランサムウェアグループが初期アクセスのためにこの脆弱性を悪用しています。

7月11日までに、ImpervaはCVE-2025–5777を標的とした攻撃を約1,200万件観測しており、「この活動は明らかにスプレー・アンド・プレイ(無差別攻撃)だ」とBeaumont氏は述べています。

GreyNoiseによれば、過去3週間で少なくとも26の悪意あるIPが悪用試行に使用されており、その多くは中国、ロシア、韓国、米国からのものでした。

「初期の悪用試行は中国にジオロケートされた悪意あるIPから発生しました。これらのIPは無差別に悪用するのではなく、Citrix NetScalerアプライアンスをエミュレートするように設定されたGreyNoiseセンサーを標的にしており、意図的な標的型攻撃を示唆しています」とGreyNoiseは述べています。

7月17日時点で、The Shadowserver Foundationのデータによると、約4,700のNetScalerインスタンスがCitrixBleed 2に対して未修正のままとなっています。

Citrixの顧客は、NetScaler ADCバージョン14.1-43.56、13.1-58.32、13.1-FIPS、13.1-NDcPP 13.1-37.235、12.1-FIPS 12.1-55.328、およびNetScaler Gatewayバージョン14.1-43.56と13.1-58.32にアップデートすることが推奨されます。さらに、すべてのセッションを終了し、セッションクッキーをクリアすることで、この脆弱性に関連するリスクを完全に軽減できます。

関連記事: Google、AIエージェントが重大な脆弱性の悪用を阻止したと発表

関連記事: Wing FTP Serverの重大な脆弱性が悪用される

関連記事: Grafana、野生下で悪用されたゼロデイを含むChromiumのバグを修正

関連記事: CISA、悪用された2件のTeleMessage脆弱性について警告

翻訳元: https://www.securityweek.com/citrixbleed-2-100-organizations-hacked-thousands-of-instances-still-vulnerable/

Published in securityweek.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です