回避策・緩和策「なし」 攻撃者が大好きなNetScalerにゼロデイ脆弱性：セキュリティニュースアラート

CitrixはCitrix NetScaler ADCおよびGatewayで3件の深刻な脆弱性を公表した。これらの中でもCVE-2025-7775は悪用事例が確認され、更新が急務となっている。

[後藤大地，有限会社オングス]

　Citrix Systemsは2025年8月26日（現地時間）、「Citrix NetScaler ADC」（旧Citrix ADC）および「NetScaler Gateway」（旧Citrix Gateway）に深刻な脆弱（ぜいじゃく）性が存在することを公表した。

　脆弱性は「CVE-2025-7775」「CVE-2025-7776」「CVE-2025-8424」の3件で、深刻度「緊急」（Critical）に分類されている脆弱性もある。CVE-2025-7775についてはゼロデイ攻撃が実行されており、速やかな対処が求められる。

回避策・緩和策「なし」　NetScaler製品の脆弱性の詳細

　報告された脆弱性の詳細は以下の通りだ。

• CVE-2025-7775：　メモリオーバーフローの脆弱性。Citrix NetScaler ADCおよびNetScaler Gatewayでリモートコード実行およびDoS攻撃につながる恐れがある。共通脆弱性評価システム（CVSS）v4.0のスコアは9.2で、深刻度「緊急」（Critical）に当たる
• CVE-2025-7776：　メモリオーバーフローの脆弱性。予期しない動作や誤った動作、DoS攻撃につながる可能性がある。CVSS v4.0のスコアは8.8で、深刻度「重要」（High）に当たる
• CVE-2025-8424：　不適切なアクセス制御の脆弱性。攻撃者がアプライアンスのNSIP、クラスタ管理IP、ローカルGSLBサイトIPまたはSNIPに管理権限でアクセスする可能性がある。CVSSv4.0のスコアは8.7で、深刻度「重要」（High）に当たる

　影響を受けるバージョンは以下の通りだ。

• Citrix NetScaler ADC 14.1-47.48より前のバージョン
• Citrix NetScaler ADC 13.1-59.22より前のバージョン
• Citrix NetScaler ADC 13.1-37.241-FIPS/13.1-37.241-NDcPPより前のバージョン
• Citrix NetScaler ADC 12.1-55.330-FIPS/12.1-55.330-NDcPPより前のバージョン
• NetScaler Gateway 14.1-47.48より前のバージョン
• NetScaler Gateway 13.1-59.22より前のバージョン

　修正済みバージョンは以下の通りだ。

• Citrix NetScaler ADC 14.1-47.48およびこれ以降のバージョン
• Citrix NetScaler ADC 13.1-59.22およびこれ以降のバージョン
• Citrix NetScaler ADC 13.1-37.241-FIPS/13.1-37.241-NDcPPおよびこれ以降のバージョン
• Citrix NetScaler ADC 12.1-55.330-FIPS/12.1-55.330-NDcPPおよびこれ以降のバージョン
• NetScaler Gateway 14.1-47.48およびこれ以降のバージョン
• NetScaler Gateway 13.1-59.22およびこれ以降のバージョン

　「Secure Private Access on-prem」または「Secure Private Access Hybrid」環境でNetScalerインスタンスを使用している場合、これらの脆弱性の影響を受けるとされている。これらのNetScalerインスタンスを推奨のNetScalerビルドにアップグレードして、脆弱性に対処する必要がある。

　回避策や緩和策は存在せず、修正版へのアップデートが唯一の対処手段となる。Citrixは顧客に対し、速やかなアップデートを推奨している。Citrix NetScaler ADC／NetScaler Gatewayのバージョン12.1および13.0についてはサポートが終了しており、セキュリティアドバイザリーにはこれらのバージョンが影響を受けるかどうかの記載はない。いずれにせよ修正は提供されないため、これらのバージョンを使用しているユーザーはサポート対象のバージョンに移行する必要がある。