288のホストが脆弱な状態 Citrix製品に見つかった重大な脆弱性「Citrix Bleed 2」:Cybersecurity Dive
Citrix NetScalerに2025年6月に見つかった重大な脆弱性は、2023年に登場した大規模なインシデントを引き起こした脆弱性「CitrixBleed」と同様の危機が懸念されている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
研究者たちは、Citrixのセキュリティ管理製品「Citrix NetScaler」の重大な脆弱(ぜいじゃく)性がハッカーに悪用されていると警告しており、2023年にCitrixの顧客を狙ったランサムウェアや国家主導の攻撃が相次いだときのような大規模な脅威の再来が懸念されている。
「CVE-2025-5777」として追跡されているこの脆弱性は、不十分な入力の検証により発生する。Citrix NetScalerがゲートウェイとして設定されている場合に、メモリの過剰読み取りを引き起こす可能性があるという。
288のホストが脆弱な状態 Citrix Bleed 2への懸念が高まる
研究者たちは2025年6月に、この脆弱性が2023年に発生したCitrix製品の脆弱性に起因する大規模なインシデント、通称「CitrixBleed」の際に使われたものと似ていると警告した。当時、Citrix NetScalerを使用していた大手企業の顧客は、対策を講じた後もハッキング被害を受けていた。
新たな脆弱性を悪用したサイバー攻撃は、2025年6月の最終週から始まったとみられているが、Citrixは攻撃を公には認めていない。
非営利のサイバーセキュリティ団体であるThe Shadowserver Foundationのピオトル・キジェフスキ氏(CEO)は「われわれは2025年6月26日(現地時間、以下同)以降、CVE-2025-5777の悪用を試みる動きを確認している」と語った。同氏によると、この情報は業界全体の見解に基づいたものだ。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2025年7月10日に「既知の悪用された脆弱性カタログ」(KEV:Known Exploited Vulnerabilities Catalog)にCVE-2025-5777を追加した(注1)。
CISAでサイバーセキュリティを担当するクリス・ブテラ氏(アクティング・エグゼクティブ・アシスタント・ディレクター)は『Cybersecurity Dive』に対して声明で次のように述べている。
「Citrix NetScaler ADCおよびGatewayシステムに存在するこの脆弱性は『Citrix Bleed 2』とも呼ばれており、連邦政府の民間部門にとって重大かつ容認できないリスクとなっている」
CISAは、連邦政府の民間部門に対して24時間以内にシステムを修正するよう命じており、その他の組織にも迅速な対応を強く呼びかけている。
クラウドサービスやコンテンツ配信ネットワークを提供するAkamaiの研究者たちは、watchTowrやProject Discoveryなどの研究機関がPoC(概念実証)のためのコードを公開した時期からスキャン活動が大幅に増加していると報告した(注2)(注3)。
Akamaiの研究者であるニーラジ・プラディープ氏は電子メールで次のように述べた。
「スキャンや調査活動は明確に確認されているが、実際に侵入に成功したという決定的な証拠は存在しない」
Citrixは2025年6月にこの脆弱性への対応を目的としたガイダンスを公開し、自社がセキュリティのベストプラクティスを積極的に採用してきた実績を強調した。また同社は、同じ製品に存在する別の脆弱性「CVE-2025-6543」が実際に悪用されていることも認めている(注4)。
Censysの研究者たちはCybersecurity Diveに対して「2025年7月8日時点で少なくとも288のホストが脆弱な状態にある可能性を確認した」と述べた。
(注1)CISA Adds One Known Exploited Vulnerability to Catalog(CISA)
(注2)Mitigating CitrixBleed 2 (CVE20255777) NetScaler Memory Disclosure with App & API Protector(Akamai)
(注3)How Much More Must We Bleed? - Citrix NetScaler Memory Disclosure (CitrixBleed 2 CVE-2025-5777)(Labs)
(注4)Hackers exploiting critical Citrix Netscaler flaw, researchers say(Cybersecurity Dive)
関連記事
セキュリティ軽視でIPO延期…… そのとき情シスは何ができたのか?
セキュリティ対策が進まない真因には、投資や人材不足、部門の地位向上など「政治力」の不足で生じる問題が多々存在します。この連載は情シスやセキュリティ部門が従来のコストセンターを脱して価値を発揮するためのアドバイスをお伝えします。
ChatGPTにマルウェアを作らせる意外な方法 "没入型"の演出でAIを騙す
生成AIのガードレールを突破するテクニック“ジェイルブレーク”(脱獄)はさまざまな手法が登場している。あるセキュリティ企業が開発した奇妙な脱獄手法「イマーシブルワールド」はChatGPTにマルウェアを作らせた。その中身を紹介しよう。
QRコードはもう止めて…… 筆者が「これはいけるかも?」と思う代替策
QRコードを悪用したフィッシング「クイッシング」は遷移先のWebサイトなどを目視で判別できず、不正対策が難しいものです。そこで筆者が考えるQRコードに代わる新たな代替策とは。
AIに「ゲームしよう」 プロダクトキーを盗む魔法のプロンプト
0DIN.aiは、AIモデルの情報漏えい防止機構を回避する手法を報告した。AIとのやりとりをゲームとして提示し、HTMLタグで語句を難読化することでプロダクトキーを出力させることに成功したという。この手法を応用すれば複数の事例に悪用できる。
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- CVSSは「10.0」 ReactとNext.jsにリモートコード実行の脆弱性
- AWS、UIを操作するAIエージェントを提供開始 安定動作や統合性をどう実現した?
- 企業の半数以上がインシデントを経験 年末年始に潜むサプライチェーン攻撃の脅威
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- 汎用LLMはもう終わり? Gartnerが「次の5年」を決める技術を発表
- “AIエージェントの次”のトレンドは何か Gartnerが描く未来志向型インフラのハイプ・サイクル
ITmediaはアイティメディア株式会社の登録商標です。