CitrixBleed 2 と命名された脆弱性 CVE-2025-5777：PoC のリリースと悪用の懸念

“CitrixBleed 2” Vulnerability PoC Released – Warns of Potential Widespread Exploitation

2025/07/05 CyberSecurityNews — Citrix NetScaler デバイスに発生した深刻な脆弱性が想起させるのは、2023年に世界中の主要組織に深刻な影響を及ぼした、著名なセキュリティ侵害 CitrixBleed である。この新たに発見された重大な脆弱性に対して、セキュリティ専門家たちは、2023年の壊滅的な CitrixBleed 攻撃との類似性を挙げ、広範な悪用の可能性について警告している。今回の脆弱性 CVE-2025-5777 は、CitrixBleed 2 と呼ばれている。この脆弱性を悪用する攻撃者は、デバイスのメモリから機密情報をダイレクトに抽出し、多要素認証を回避してユーザー・セッションを乗っ取る可能性を手にするという。

WatchTower Labs の研究者たちの分析によると、このメモリリークの脆弱性が影響を及ぼす範囲は、リモート・アクセス・ゲートウェイとして構成された NetScaler ADC／NetScaler Gateway デバイスとなる。

この、入力検証の不備の脆弱性は、認証リクエスト処理におけるメモリのオーバー・リードを引き起こすものであり、深刻度は CVSS 9.3（Critical) と評価されている。

以前の CitrixBleed 脆弱性 CVE-2023-4966 は、ランサムウェア・グループや国家に支援される APT に広く悪用され、Boeing や Comcast Xfinity への攻撃などを引き起こし、3,600万人の顧客に影響を及ぼすという、大規模な侵害の原因となった。

現在も悪用されている疑い

サイバー・セキュリティ企業 ReliaQuest によると、この脆弱性が標的型攻撃で悪用されていることを示唆する、”中程度の信頼性” を持つ兆候が確認されたとのことだ。

具体的な兆候の例としては、認証済みの Citrix Web セッションのハイジャックがある。このケースでは、ユーザーの知らないうちに、認証が付与されており、多要素認証もバイパスしているという。

研究者たちが特定したのは、疑わしい IP アドレス間でのセッション再利用／Active Directory 偵察に関連する LDAP クエリ／侵害済の環境に展開されている複数の ADExplorer64.exe インスタンスなどの、懸念すべき活動パターンである。攻撃者たちは、侵害後の偵察を行う際に、コンシューマ向けの VPN サービスを通じて、その活動を隠蔽しているとみられる。

WatchTower Labs の報告によると、この脆弱性の悪用は非常に容易であるという。攻撃者たちは、Citrix Gateway のログイン・エンドポイントに対して、適切なパラメータ値を持たない不正な HTTP リクエストを送信することで、メモリ・リークが発生させ、初期化されていない変数に保存された機密データを露出させている。

研究者たちは、「内部的に起こっているのは、C 言語を介した典型的な悪意のパターンであり、初期化されていないローカル変数を、バックエンド・パーサーが返している。この変数には、それ以前にメモリに保持されていた、セッション・トークンなどの機密データが含まれる可能性がある」と指摘している。

不正なログイン・パラメータを取り込んだ HTTP POST リクエストが、”/p/u/doAuthentication.do ” エンドポイントに送信されることで、この脆弱性は発動する。その結果として、システムはメモリ変数を初期化せず、それまでにメモリに格納されていた残留データを返してしまう。この挙動は、”CWE-457：初期化されていない変数の使用” に該当する。

この脆弱性に対して、”CitrixBleed 2″ と命名したセキュリティ研究者 Kevin Beaumont は、Shodan を用いた検索の結果から、インターネット上の脆弱な NetScaler インスタンスは、50,000 台以上になる可能性があると指摘している。その一方で、Shadowserver Foundation は、2025年6月17日に Citrix がパッチを公開した以降である、６月下旬の時点において、少なくとも 1,200 台のアプライアンスが未修正状態で稼働していることを確認している。

すでに Citrix は、サポート対象バージョン向けにセキュリティ・アップデートをリリースしており、速やかなアップグレード実施するよう、ユーザー組織に対して強く推奨している。さらに Citrix は、パッチを適用した後に、すべてのアクティブな ICA／PCoIP セッションを終了し、セッション・ハイジャックを防ぐことを求めている。

サポート終了バージョンである 12.1／13.0 を使用している組織には、パッチが提供されない、したがって、サポート対象バージョンへと、速やかにアップグレードすべきである。

2023年の CitrixBleed の初期攻撃は、パッチが公開された後の数ヶ月にわたり悪用され続けた。この過去を踏まえ、セキュリティ専門家たちは、今回の脆弱性に対する修正作業を遅延させるべきではないと強く訴えている。

この脆弱性は、以前の事例と類似している。したがって、企業ネットワークへの初期侵入を狙うサイバー犯罪者が、好んで用いるツールとなる可能性が高い。

今回の Citrix NetScaler の脆弱性は、2023年に大きな被害を出した CitrixBleed に類似するとして、CitrixBleed 2 と命名されています。攻撃者はメモリから機密情報を抜き出し、多要素認証を回避する手口を使うようです。すでに悪用の兆候もあり、早急なパッチ適用と不要なセッションの終了が強く勧められると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CitrixBleed で検索も、ご参照ください。