大規模インシデントの再来? Citrix NetScalerに新たな脆弱性:セキュリティニュースアラート
Citrixのセキュリティ管理製品「Citrix NetScaler」に重大な脆弱性が見つかった。セキュリティ業界の中では、今回見つかったものと、かつて大規模インシデントを引き起こしたある脆弱性との関連性を指摘する声もあるという。
サイバーセキュリティ事業を営むReliaquestが2025年6月27日(現地時間、以下同)に公開したブログ記事によると(注1)、Citrixのセキュリティ管理製品「Citrix NetScaler」(以下、NetScaler)に存在する重大な脆弱(ぜいじゃく)性は、既に初期段階の悪用が確認されたという。
大規模インシデントの再来? あの脆弱性と関連している可能性
研究者たちによると、標的となった環境への初期侵入で「NetScaler Gateway」の脆弱性が利用されている兆候が確認されたとのことだ。Citrixの勧告によると「CVE-2025-5777」として追跡されているこの脆弱性は(注2)(注3)、NetScalerがGatewayとして構成されている場合、入力の検証が不十分であることに起因してメモリのオーバーリードが発生するというものだという。
Reliaquestの脅威調査ディレクターであるブランドン・ティラド氏によると、この脆弱性を悪用することで、攻撃者はセッショントークンを抽出し、正規ユーザーになりすますことが可能になるという。これらのトークンを使えば、攻撃者は多要素認証を回避し、セッションハイジャックが可能になる。
ティラド氏は『Cybersecurity Dive』に対して「関与している主体は不明だが、この度の活動は経済的な動機を有する攻撃者と国家から支援を受けているグループのどちらにも当てはまる可能性がある」と語った。
この脆弱性はセキュリティ業界に大きな懸念を引き起こしている(注4)。それは、同じ製品に存在した2023年の脆弱性「CVE-2023-4966」が近年最も広く悪用されたバグの一つであり(注5)、「CitrixBleed」という通称が広く浸透するほどのインシデントになったためだ。
その脆弱性は、航空企業であるBoeingに対するランサムウェア攻撃や、3600万人の顧客に影響を及ぼしたComcastのXfinityのブロードバンド部門への大規模な攻撃など(注6)、幾つかの重大なサイバー攻撃で悪用された。
最初の攻撃の猛威が収まった後も、ハッカーたちは依然としてその脆弱性を悪用し続けた。顧客が脆弱性に対処するためのパッチを適用した後も状況は変わらなかった。Comcastは「私たちが標的とされる前に指示に沿って緩和策を実行していた」と述べている。
多くの攻撃には、悪名高いランサムウェアグループ「LockBit 3.0」が関連していた。
Citrixの親会社であるCloud Software Groupは2025年6月26日に、「CVE-2025-5777」に加えて、新たに公開された別のゼロデイ脆弱性である「CVE-2025-6543」に対応するためのブログ記事を公開した(注7)。同社は後者の脆弱性については実際に悪用が行われていることを確認したが、「CVE-2025-5777」が悪用されている証拠は確認されていないとしている。
Cloud Software Groupは、2023年に猛威を振るったCitrixBleedの脆弱性と「CVE-2025-5777」との間で比較がなされていることを認識しているとした上で「現時点では2つの脆弱性が関連しているという証拠はない」と述べた。Citrixは、Cloud Softwareの傘下で運営されている複数のテクノロジーブランドの一つだ。
Cloud Software Groupは2023年に発生したCitrixBleedへの対応を巡って広く批判を受けた。その一因は、顧客とのコミュニケーションの程度に対する広範な混乱と、セキュリティチームに対して提供された指針への懸念にあった。
Cloud Software Groupは2025年6月26日に公開されたブログ記事で、「被害を受けた可能性がある場合は連絡してほしい」と顧客に呼びかけるとともに、今回の脅威活動に関する詳細なFAQを公開した。
(注1)Threat Spotlight: CVE-2025-5777: Citrix Bleed 2 Opens Old Wounds(RELIAQUEST)
(注2)CVE-2025-5777 Detail(NIST)
(注3)NetScaler ADC and netScaler Gateway Security Bulletin for CVE-2025-5349 and CVE-2025-5777(Citrix)
(注4)Critical vulnerability in Citrix Netscaler raises specter of exploitation wave(Cybersecurity Dive)
(注5)CVE-2023-4966 Detail(NIST)
(注6)Comcast’s Xfinity discloses massive data breach linked to CitrixBleed vulnerability(Cybersecurity Dive)
(注7)NetScaler Critical Security Updates for CVE-2025-6543 and CVE-2025-5777(NetScaler)
© Industry Dive. All rights reserved.
関連記事
有料のウイルス対策ソフトを入れる人は“初心者”? マルウェア対策を再考しよう
インフォスティーラーの脅威が本格化しつつある中、組織と個人ともに改めてマルウェア対策を再考する必要がありそうです。ただ最近、「有料のウイルス対策ソフト不要説」がちらほらと出ているようです。一体どういうことでしょうか。
多要素認証突破も当たり前 今話題のリアルタイムフィッシングとは?
国内でのフィッシング被害が激化する中、多要素認証を突破する攻撃も登場しています。こうした高度な攻撃に対処するには個人を含めた組織全体でセキュリティリテラシーを向上させる必要があります。ではそのためにはどうすればいいのでしょうか。
PuTTYやWinSCP偽装してマルウェア配布 新手の攻撃キャンペーンに注意
PuTTYやWinSCPなどの正規ツールを装って、標的にバックドア「Oyster/Broomstick」をインストールさせる新手の攻撃キャンペーンが観測された。管理者が業務上必要とするツールを迅速に取得しようとする傾向を悪用しているとみられる。
ChromeやEdgeに18種類の悪意ある拡張機能 合計230万件以上インストール済み
Koi Securityは、ChromeやEdgeで合計230万件以上インストールされている認証済みの拡張機能18種が、実際にはユーザーを監視して情報を外部に送信する悪質なコードを含んでいたことが判明した。