2100+ Citrix Servers Vulnerable to Actively Exploited Bypass Authentication Vulnerability
2025/06/30 CyberSecurityNews — Citrix NetScaler サーバに存在する深刻な認証バイパス脆弱性に対してパッチが提供されているが、依然として 2,100台以上が悪用可能な状態にあり、攻撃者によるセッション・トークン窃取が続いている。サイバー・セキュリティ企業 ReliaQuest が発した警告は、Citrix NetScaler ADC/NetScaler Gateway システムに影響を及ぼす2件の深刻な脆弱性の、積極的な悪用が確認されているというものだ。これらの脆弱性 CVE-2025-5777/CVE-2025-6543 は、2025年6月中旬から攻撃を受けており、6月19日にはスキャン活動が検出されている。
The Shadowserver によると、2025年6月29日のセキュリティ・スキャンでは、それぞれの脆弱性に対する未修正の IP アドレスが 1,289件/2,100件検出されており、その多くはアメリカとドイツに集中しているという。これらの脆弱性は極めて深刻なものであり、重大なセキュリティ・リスクが発生していることになる。
Citrix Bleed 2 の危険な進化
“Citrix Bleed 2” と呼ばれる脆弱性 CVE-2025-5777 (CVSS:9.2) は、 2023年に大規模な被害をもたらした、オリジナルの脆弱性 “Citrix Bleed” の進化版とされる。
この新たな脆弱性 Citrix Bleed 2 は、入力検証の不備に起因するものであり、メモリの範囲外読み取りを引き起こし、認証情報などの機密データの抽出を、攻撃者に対して許す可能性がある。
Citrix Bleed 2 を標的とするメカニズムは、きわめて悪質なものである。オリジナルの脆弱性ではセッション・クッキーが標的とされたが、Citrix Bleed 2 では API コールやセッション・トークンが標的とされるため、長期にわたるアクセス権限が攻撃者に付与される可能性がある。それにより、ユーザーがブラウザ・セッションを終了した後であっても、攻撃者は乗っ取ったセッション・トークンを継続して悪用し、不正なアクセスを維持する機会を手にする。
ReliaQuest の研究者が観測したのは、多要素認証 (MFA) バイパスの成功を示す、懸念すべき兆候である。その中には、ユーザーに認識させることなく不正認証を成立させる、Citrix の Web セッション乗っ取りも含まれる。
この攻撃では、複数の IP アドレス間で再利用される同一セッションが検出され、正規のアクセス元と疑わしいアクセス元の混在が確認されている。
活発な悪用が確認されている、もう一つの脆弱性 CVE-2025-6543 (CVSS:9.3) は、同じ NetScaler コンフィグに影響を与えるが、もたらされる脅威は異なるものとなる。このメモリ・オーバーフロー脆弱性が悪用されると、サービス拒否 (DoS) 状態に陥る可能性があり、重要なネットワーク・インフラの停止へといたる恐れが生じる。
Citrix は、「脆弱性 CVE-2025-6543 が未修正のアプライアンスに対して、積極的な悪用が確認されている」と述べている。
セキュリティ・アナリストたちは、高度な攻撃パターンを文書化し、技術力の高い脅威アクターの関与を示唆している。ReliaQuest は、「侵害された環境において、Microsoft のツール “ADExplorer64.exe” が、複数回にわたりデプロイされる事例を観測した。攻撃者は、このツールを武器化し、広範なドメイン偵察を行っている」と述べている。
研究者たちが検出した偵察行動は、Active Directory に対する LDAP クエリと、データセンター・ホスティング IP アドレス (DataCamp などの消費者向け VPN サービスを含む) から発信された Citrix セッションである。それらにおいては、高度な難読化技術が使用されている可能性が示唆される。
NetScaler アプライアンスは、企業のアプリケーションを保護し、データセンターへのリモート・アクセス・ゲートウェイとして機能する重要なインフラ要素である。それらのシステムは、リモート・ワーカーの主要なアクセス・ポイントとして機能するため、高価値な標的となっている。
この認証バイパスの脆弱性を悪用する攻撃者は、組織の重要なセキュリティ対策である MFA メカニズムを迂回するため、きわめて危険な存在となる。
すでに Citrix は、2つの脆弱性を修正し、NetScaler のビルドを更新している。推奨されるパッチ適用済みバージョンは、NetScaler ADC および NetScaler Gateway 14.1-43.56 以降/13.1-58.32以降のリリースである。
このセキュリティ対策において特に重要なことは、パッチの適用後に “kill icaconnection -all“/“kill pcoipConnection -all“ コマンドを実行することである。それにより、アクティブなセッションを終了させ、以前に攻撃者に乗っ取っられたセッション経由での、アクセスを阻止する必要がある。
なお、NetScaler バージョン 12.1/13.0 はサポート終了 (EoL) 状態に達しており、セキュリティ・パッチは提供されない。したがって、これらのバージョンを実行している組織に対しては、早急なアップグレードが強く推奨される。それを怠ると、脆弱な状態を無期限に引きずることになる。
すべての組織にとって必要なことは、特にインターネットに接続されている NetScaler アプライアンスに対して、ただちにパッチを適用することである。さらに、パッチ適用後の手順も同様に重要であり、すべてのアクティブなセッションを終了し、侵害されたトークンを無効化する必要がある。
Citrix NetScaler に存在する2つの深刻な脆弱性が、実際の攻撃で悪用されているようです。すでに修正パッチが提供されていますが、まだ多くのサーバが危険に直面する状況にあります。Citrix Bleed 2 は、以前の脆弱性の進化版であり、セッション情報の窃取やMFAのバイパスまで可能になると、この記事は指摘しています。よろしければ、Citrix Bleed で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.