2025年8月12日Ravie Lakshmanan脆弱性 / 脅威インテリジェンス
オランダ国家サイバーセキュリティセンター(NCSC-NL)は、Citrix NetScaler ADC製品に影響を与える最近公開された重大なセキュリティ脆弱性を悪用したサイバー攻撃によって、国内の組織が侵害されていると警告しました。
NCSC-NLは、CVE-2025-6543の悪用がオランダ国内の複数の重要組織を標的としていることを発見したと述べており、影響範囲を特定するための調査が継続中であるとしています。
CVE-2025-6543(CVSSスコア:9.2)は、NetScaler ADCに存在する重大なセキュリティ脆弱性であり、デバイスがGateway(VPN仮想サーバ、ICAプロキシ、CVPN、RDPプロキシ)またはAAA仮想サーバとして構成されている場合に、意図しない制御フローやサービス拒否(DoS)を引き起こします。
この脆弱性は2025年6月下旬に初めて公開され、以下のバージョンで修正パッチがリリースされています:
- NetScaler ADCおよびNetScaler Gateway 14.1(14.1-47.46より前)
- NetScaler ADCおよびNetScaler Gateway 13.1(13.1-59.19より前)
- NetScaler ADC 13.1-FIPSおよびNDcPP(13.1-37.236-FIPSおよびNDcPPより前)
2025年6月30日現在、CVE-2025-6543は米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の既知の悪用脆弱性(KEV)カタログに追加されました。同製品の別の脆弱性(CVE-2025-5777、CVSSスコア:9.3)も先月リストに加えられています。
NCSC-NLは、この活動が高度な脅威アクターによるものとみられると説明し、2025年5月初旬からゼロデイとしてこの脆弱性が悪用されていたこと、つまり公開される約2か月前から攻撃が行われていたこと、そして攻撃者が侵害の痕跡を消去しようとしたことを付け加えました。悪用が発見されたのは2025年7月16日です。
「調査中、Citrixデバイス上で悪意のあるWebシェルが発見されました」と同機関は述べています。「Webシェルとは、攻撃者にシステムへのリモートアクセスを与える不正なコードのことです。攻撃者は脆弱性を悪用してWebシェルを設置することができます。」
CVE-2025-6543によるリスクを軽減するため、組織には最新のアップデートを適用し、以下のコマンドを実行して永続的かつアクティブなセッションを終了させることが推奨されています:
- kill icaconnection -all
- kill pcoipConnection -all
- kill aaa session -all
- kill rdp connection -all
- clear lb persistentSessions
また、組織はNCSC-NLが提供しているシェルスクリプトを実行し、CVE-2025-6543の悪用に関連する侵害の兆候を調査することも可能です。
「Citrix NetScalerのシステムフォルダ内に異なる.php拡張子のファイルが存在する場合、悪用の兆候である可能性があります」とNCSC-NLは述べています。「NetScaler上で新たに作成されたアカウント、特に権限が昇格されたアカウントがないか確認してください。」
翻訳元: https://thehackernews.com/2025/08/dutch-ncsc-confirms-active-exploitation.html