2025年7月11日、米国サイバーセキュリティ・インフラストラクチャ庁(CISA)は、Citrix製品に発見された重大な脆弱性(CVE-2025-5777)を「既知の悪用済み脆弱性(KEV)」カタログに追加し、連邦政府機関に対して「24時間以内のパッチ適用」を命じるという異例の対応を取りました。
脆弱性の概要
この脆弱性は、Citrix NetScaler ADCおよびNetScaler Gatewayに存在するアウト・オブ・バウンズリード(OOB Read)に関するもので、不十分な入力検証により、構成によっては攻撃者に機密メモリの読み出しやセッションの乗っ取りを許す恐れがあります。
Citrix製品に新たに発見された脆弱性「CVE-2025-5777(通称:Citrix Bleed 2)」は、Citrix NetScaler ADCおよびNetScaler Gatewayに存在するアウト・オブ・バウンズリード(Out-of-Bounds Read)の脆弱性です。
この脆弱性は、ゲートウェイ構成(VPN仮想サーバ、ICA Proxy、CVPN、RDP Proxy、AAA仮想サーバ)において、不十分な入力検証により、本来アクセスしてはならないメモリ領域を読み取られてしまう可能性があります。
攻撃者はこの脆弱性を悪用することで、認証情報やセッションIDといった機密情報を盗み出し、多要素認証(MFA)をバイパスしてシステムに不正アクセスすることができます。
実際に複数の攻撃者がこの脆弱性を用いた攻撃を行っており、セッションの乗っ取りや情報漏洩、リモートアクセスの乗っ取りといった深刻な被害が報告されています。
この脆弱性の深刻度はCVSSスコア9.2(Critical)と評価されており、特に未対策のアプライアンスは重大なセキュリティリスクにさらされています。CISAはこのリスクの高さを踏まえ、「24時間以内のパッチ適用」を全米の連邦機関に通達するという異例の対応を取りました。
被害状況と攻撃実例
Citrix社が6月下旬に公開したアドバイザリ以降、実際に未対策の環境に対する攻撃が確認されています。マストドン上のセキュリティ研究者によれば、以下のような兆候が観測されています。
-
脆弱性を利用したセッション盗用・MFAバイパス
-
Netscalerデバイスへのスキャン活動
-
以下のIPアドレスからの不審アクセスが報告(GreyNoise情報)
64.176.50.109
139.162.47.194
38.154.237.100
38.180.148.215
102.129.235.108
121.237.80.241
45.135.232.2
この脆弱性は、2023年に猛威を振るった「Citrix Bleed(CVE-2023-4966)」に酷似しており、ランサムウェアグループや国家支援型攻撃者による悪用が強く懸念されています。
CISAの緊急対応と推奨アクション
CISAは、「Citrix Bleed 2は連邦ネットワーク全体に対する重大かつ受容不可能なリスクをもたらす」とし、最短となる24時間以内のパッチ適用を指示しました。
【推奨される対応】
-
Citrix社のガイダンスに従ったパッチの即時適用
-
VPN・Gateway用途のNetScaler環境におけるログ監視・IOCs確認
-
該当IPアドレスからの通信ログの精査
-
セッション再認証・MFA設定の見直し
-
BOD 22-01など連邦機関向け指針に準拠した対策の実施
-200x200.png)

-200x200.png)


-200x200.png)


