米国サイバーセキュリティ&インフラストラクチャセキュリティ局は、Citrix NetScaler ADCおよびGatewayにおけるCitrixBleed 2の脆弱性(CVE-2025-5777)の活発な悪用を確認し、連邦政府機関に修正パッチを適用するための1日を与えている。
CISAがKnown Exploited Vulnerabilities (KEV)カタログを公開し、このセキュリティ問題を悪用した攻撃の深刻さを示して以来、パッチをインストールするためのこのような短い期限は前例がない。
同機関は昨日、この欠陥を既知の悪用される脆弱性(KEV)カタログに追加し、本日6月11日末までに緩和策を実施するよう連邦政府機関に命じた。
CVE-2025-5777は、重大なメモリ安全性の脆弱性(境界外メモリ読み出し)であり、認証されていない攻撃者がメモリの制限された部分にアクセスできるようになります。
この問題は、14.1-43.56、13.1-58.32、13.1-37.235-FIPS/NDcPP、および 2.1-55.328-FIPS より前のバージョンで、ゲートウェイまたは AAA 仮想サーバーとして設定されている NetScaler デバイスに影響します。
Citrixは、6月17日にリリースされたアップデートでこの脆弱性に対処した。
その1週間後、セキュリティ研究者のKevin Beaumont氏はブログ投稿で、この欠陥が悪用される可能性、その重大性、パッチを適用せずに放置した場合の影響について警告した。
Beaumont氏は、悪名高いCitrixBleed脆弱性(CVE-2023-4966)との類似性から、この欠陥を「CitrixBleed 2」と呼んだ。
CitrixBleed 2が悪用されているという最初の警告は、6月27日にReliaQuestから出された。7月7日には、watchTowrとHorizon3のセキュリティ研究者がCVE-2025-5777の概念実証エクスプロイト(PoC)を公開し、ユーザー・セッション・トークンを盗む攻撃にこの欠陥がどのように活用されるかを実証しました。
しかし、PoCが利用可能であり、悪用が容易であることから、攻撃者が大規模な悪用を開始するのは時間の問題であった。
しかし、この2週間、ハッカー・フォーラムでは、Citrix Bleed 2脆弱性のPoCに関する議論、作業、テスト、フィードバックの共有が活発に行われている。
彼らは、利用可能なエクスプロイトをどのように攻撃で機能させるかに関心を示していた。彼らの活動はここ数日で活発化し、この脆弱性に対する複数のエクスプロイトが公開された。
CISAは、CitrixBleed 2が攻撃で積極的に使用されていることを確認しており、脅威関係者は先週公開された技術情報に基づいて独自のエクスプロイトを開発した可能性が高い。
「ベンダーの指示に従って緩和策を適用するか、クラウドサービスに適用されるBOD 22-01ガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください」とCISAは警告している。
この問題を緩和するために、ユーザはファームウェア・バージョンを14.1-43.56+、13.1-58.32+、または13.1-FIPS/NDCPP 13.1-37.235+にアップグレードすることを強く推奨する。
アップデート後、管理者はすべてのアクティブなICAおよびPCoIPセッションを切断すべきである。
その前に、「show icaconnection」コマンドを使用するか、NetScaler Gateway > PCoIP > Connectionsを使用して、現在のセッションに疑わしい動作がないか確認してください。
その後、以下のコマンドを使用してセッションを終了する:
kill icaconnection -allkill pcoipconnection -all
すぐに更新できない場合は、ファイアウォール・ルールまたはACLを使用してNetScalerへの外部アクセスを制限する。
CISAは悪用を確認しているが、Citrixが6月27日に発表したオリジナルのセキュリティ情報をまだ更新しておらず、CVE-2025-5777が悪用された形跡はないと述べていることに注意することが重要である。
CitrixBleed 2の悪用状況について更新があるかどうか、Citrixに問い合わせてください。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
2025年に共通する8つの脅威
クラウド攻撃はより巧妙になっているかもしれないが、攻撃者は驚くほど単純なテクニックで成功している。
本レポートでは、何千もの組織におけるWizの検知結果から、クラウドを駆使する脅威者が使用する8つの主要なテクニックを明らかにします。
Comments