Citrix「NetScaler ADC/Gateway」に深刻脆弱性、実際にDoS攻撃で悪用の可能性(CVE-2025-6543)

セキュリティニュース

投稿日時: 更新日時:

Citrix「NetScaler ADCGateway」に深刻脆弱性、実際にDoS攻撃で悪用の可能性(CVE-2025-6543)

2025年6月25日、Citrix(旧NetScaler製品)は、NetScaler ADCおよびGatewayに存在するクリティカルなメモリオーバーフロー脆弱性(CVE-2025-6543)について緊急パッチをリリースしました。NVDによる評価では、CVSS v4.0で9.2(Critical)、CVSS v3.0では7.5(High)と極めて高い危険度とされており、既に悪用が確認されています。

脆弱性の対象製品と影響範囲

  • 対象バージョン
    • NetScaler ADC/Gateway 14.1 ← 14.1‑47.46未満

    • NetScaler ADC/Gateway 13.1 ← 13.1‑59.19未満

    • NetScaler ADC 13.1‑FIPS/NDcPP ← 13.1‑37.236‑FIPS未満

バージョン12.1および13.0はすでにEOLですが、脆弱性の影響を受け続けています。

  • 影響構成:
    VPN仮想サーバ、ICA プロキシ、クライアントレスVPN(CVPN)、RDPプロキシ、またはAAA仮想サーバとして稼働している場合のみ影響があります。

対策 – 今すぐパッチ適用を

Citrixは各製品に対してパッチ(修正済ファームウェア)を以下の通り提供しています:

  • 14.1 → 14.1‑47.46以降

  • 13.1 → 13.1‑59.19以降

  • 13.1‑FIPS/NDcPP → 13.1‑37.236以降

加えて、クラウド環境以外でEDL型に構成された管理下にあるNetScalerサーバも同様のアップデートが必要です。
パッチ適用が難しい場合は、ネットワーク制御によるアクセス制限やトラフィック監視を即時実施してください。

脆弱性の概要

本脆弱性は、NetScaler ADC/Gateway が「Gatewayモード」または「AAA仮想サーバ構成」で稼働している場合に、外部から認証不要でHTTPリクエストを送信されることでトリガーされます。攻撃者はこのリクエストを悪用し、対象デバイスに対してメモリ処理の不具合を発生させ、リソースが過剰に消費されるような状態、いわゆる「メモリオーバーフロー」を引き起こします。

その結果、対象デバイスは正常な通信処理ができなくなり、サービスが停止する(DoS: Denial of Service)状態に陥ります。現時点での報告では、リモートコード実行(RCE)には至らないとされていますが、攻撃の入口としてDoSを装い、継続的な探索や侵入を試みるケースも否定できません。

悪用には高度な技術は不要であり、攻撃対象がインターネット上に公開されていれば自動スキャンによって脆弱性を狙い撃ちすることも可能です。よって、修正パッチの適用が遅れると、容易に外部から悪用され得る深刻なリスクとなります。