コンテンツにスキップするには Enter キーを押してください

Citrix、NetScalerのゼロデイ脆弱性3件にパッチを提供、うち1件はすでに悪用を確認

投稿日 2025年8月27日

Citrixは、NetScaler ADCおよびGatewayに存在する3件のゼロデイ脆弱性に対するパッチをリリースしました。このうち1件はすでに攻撃者によって悪用されていました。

これらの脆弱性はCVE-2025-7775、CVE-2025-7776、CVE-2025-8424として追跡されており、2件のメモリオーバーフロー脆弱性と、NetScaler管理インターフェースにおける不適切なアクセス制御です。

いずれも重大な脆弱性とされており、それぞれの深刻度スコア(CVSS)は9.2、8.8、8.7となっています。

以下のシステムが、これら3件すべての脆弱性の影響を受けます:

  • NetScaler ADCおよびNetScaler Gateway 14.1(14.1-47.48未満)
  • NetScaler ADCおよびNetScaler Gateway 13.1(13.1-59.22未満)
  • NetScaler ADC 13.1-FIPSおよびNDcPP(13.1-37.241-FIPSおよびNDcPP未満)
  • NetScaler ADC 12.1-FIPSおよびNDcPP(12.1-55.330-FIPSおよびNDcPP未満)

さらに、NetScalerインスタンスを使用するSecure Private AccessオンプレミスまたはSecure Private Accessハイブリッド導入も、これらの脆弱性の影響を受けます。

8月26日のアドバイザリで、CitrixはCVE-2025-7775が「対策されていないアプライアンス」で実際に悪用されていることを確認したと述べました。

独立系セキュリティ研究者のKevin Beaumont氏によると、Citrixがパッチを提供する前からエクスプロイトキャンペーンが始まっていたとのことです。

彼は述べていますが、CVE-2025-7775(彼は「CitrixDeelb」と命名)は「主な問題であり、認証前のリモートコード実行(RCE)が利用され、ウェブシェルを設置して組織にバックドアを仕掛けている」とのことです。

CVE-2025-7775に脆弱なホストを対象にした初期のインターネットスキャンに基づき、Beaumont氏は8月26日時点で影響を受けるアプライアンスの84%が脆弱なままだったと述べています。

顧客に脆弱なアプライアンスのパッチ適用を強く推奨

Citrixは、ユーザーに以下のパッチ適用済みバージョンへのアップグレードを推奨しています:

  • NetScaler ADCおよびNetScaler Gateway 14.1-47.48以降
  • NetScaler ADCおよびNetScaler Gateway 13.1-59.22以降の13.1リリース
  • NetScaler ADC 13.1-FIPSおよび13.1-NDcPP 13.1-37.241以降の13.1-FIPSおよび13.1-NDcPPリリース
  • NetScaler ADC 12.1-FIPSおよび12.1-NDcPP 12.1-55.330以降の12.1-FIPSおよび12.1-NDcPPリリース

これらの脆弱性の悪用を緩和する他の回避策はありません。

また、ソフトウェア開発元はNetScaler ADCおよびNetScaler Gatewayのバージョン12.1および13.0はすでにサポート終了(EOL)となっており、サポート対象外であることも指摘しています。

「お客様には、脆弱性に対応したサポート対象バージョンへのアップグレードを推奨します」とCitrixのアドバイザリは付け加えています。

パッチ適用だけでは不十分、専門家が警告

watchtowerのCEOであるBenjamin Harris氏は、パッチを適用するだけで潜在的な侵害の調査を行わないのは不十分だと警告しています。

「パッチ適用は重要ですが、それだけでは不十分です。組織が緊急に過去の侵害やバックドア設置の兆候を調査しない限り、攻撃者は内部に残り続けます。パッチだけを当てた組織は依然として危険にさらされます」と彼は述べています。

VulnCheckのセキュリティリサーチ担当VPであるCaitlin Condon氏は、エクスプロイトキャンペーンは高度な脅威アクターによるものである可能性が高く、国家支援グループの関与を示唆しました。

「CVE-2025-7775やCVE-2025-7776のようなメモリ破損の脆弱性は悪用が難しく、一般的には国家支援や他の熟練した攻撃者が標的型攻撃で利用する傾向があり、広範な一般的攻撃者が利用することは少ない」と彼女は述べています。

VulnCheckの調査によると、最近のCitrix NetScalerの脆弱性CVE-2025-6543(より限定的な構成に影響)は、CVE-2025-7775とほぼ同一の説明がなされています。しかし、CVE-2025-6543は、6月25日からVulnCheckの既知悪用脆弱性(KEV)リストに掲載されているにもかかわらず、大規模な悪用は確認されていません。

CitrixのアドバイザリではCVE-2025-7775のアクティブな悪用のみ明示的に確認されていますが、VulnCheckのCondon氏は「ファイアウォールやセキュリティゲートウェイの管理インターフェースが最近のキャンペーンで大規模に標的とされている」と警告しています。

彼女は、CVE-2025-7775のような初期アクセスの脆弱性とCVE-2025-8424のような二次的な脆弱性を組み合わせた将来的なエクスプロイトチェーンによって、管理インターフェースが侵害されるリスクを強調しました。

Condon氏は、CVE-2025-8424のパッチ適用を優先するよう組織に呼びかけ、「脆弱性対応は、悪用が難しい高深刻度のメモリ破損CVEだけに注力すべきではなく、より運用上重要な脆弱性も見逃さないようにすべきだ」と注意を促しています。

翻訳元: https://www.infosecurity-magazine.com/news/citrix-patch-netscaler-zero-days/

Published in infosecurity-magazine-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です