U.S. CISA adds Citrix NetScaler flaw to its Known Exploited Vulnerabilities catalog
2025/06/30 SecurityAffairs — 米国の CISA は 2025年6月30日に、Citrix NetScaler の脆弱性を KEV カタログに登録した。Citrix NetScaler ADC/NetScaler Gateway に存在する、メモリ・オーバーフローの脆弱性 CVE-2025-6543 (CVSS:9.2) は、VPN VS/ICA Proxy/CVPN/RDP Proxy などのゲートウェイもしくは AAA 仮想サーバとしてコンフィグした場合に発生するものだ。
この脆弱性の説明には、「NetScaler ADC および NetScaler Gateway をゲートウェイまたは AAA 仮想サーバとしてコンフィグすると、メモリオーバー・フローの脆弱性がトリガーされ、意図しない制御フローおよびサービス拒否 (DoS) を引き起こす」と記されている。
この脆弱性がもたらす意図しない制御フローにより、サービス拒否 (DoS) が発生し、サービスの可用性が損なわれる可能性が生じる。この脆弱性は、NetScaler ADC/NetScaler Gateway の、以下のサポート対象バージョンに影響を及ぼす:
- NetScaler ADC 13.1-FIPS/NDcPP:13.1-37.236 未満
- NetScaler ADC/NetScaler Gateway 14.1:14.1-47.46 未満
- NetScaler ADC/NetScaler Gateway 13.1:13.1-59.19 未満
米国の CISA は 2025年6月30日に、Citrix NetScaler の脆弱性 CVE-2025-6543 を KEV カタログに登録した。
拘束的運用指令 (BOD) 22-01 に基づき、米国の FCEB 機関は、このカタログに記載された脆弱性を、特定された期限までに対処し、攻撃からネットワークを保護する必要がある。CIS Aは連邦政府機関に対して、2025年7月21日までに、これらの脆弱性を修正するよう命じている。
2024年1月にも CISA は、Citrix NetScaler の以下の脆弱性を KEV カタログに追加していた:
- CVE-2023-6548:Citrix NetScaler ADC/NetScaler Gateway におけるコード・インジェクションの脆弱性。
- CVE-2023-6549:Citrix NetScaler ADC/NetScaler Gateway におけるバッファ・オーバーフローの脆弱性。
そのときの Citrix は、「Netscaler ADC/Gatewayアプライアンスに影響を及ぼす2つのゼロデイ脆弱性 CVE-2023-6548/CVE-2023-6549 が、サイバー攻撃で積極的に悪用されている。それに対処するために、セキュリティ更新プログラムのインストールを急ぐ必要がある」と、ユーザーに警告していた。
セキュリティ専門家たちは、民間組織に対しても KEV カタログを確認し、自社のインフラにおける脆弱性に対処することを推奨している。
Citrix NetScaler 製品に発見された脆弱性 CVE-2025-6543 が、米国 CISA の KEV カタログに掲載されました。この脆弱性に関する第一報は、2025/06/25 の「Citrix NetScaler ADC の脆弱性 CVE-2025-6543 が FIX:すでに攻撃を確認」となっています。また、2025/06/26 には「Citrix NetScaler ADC/Gateway の脆弱性 CVE-2025-5777 が FIX:Citrix Bleed “2” と呼ばれる理由は?」という記事もあります。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.