CISA KEV 警告 25/07/10:Citrix NetScaler ADC/Gateway の脆弱性 CVE-2025-5777 を登録

U.S. CISA adds Citrix NetScaler ADC and Gateway flaw to its Known Exploited Vulnerabilities catalog

2025/07/11 SecurityAffairs — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、CVE-2025-5777 として追跡されている Citrix NetScaler ADC/Gateway を、KEV (Known Exploited Vulnerabilities) カタログに登録した。この CitrixBleed 2 と呼ばれる脆弱性 CVE-2025-5777 (CVSS v4.0:9.3) は、認証されていない攻撃者に対してセッション Cookie 窃取を許すものであり、過去に深刻な影響を及ぼした CVE-2023-4966 (CitrixBleed) に類似している。

この脆弱性は、入力検証の不備によりメモリ読み取りのオーバーフローが発生するものであり、NetScaler をゲートウェイ (VPN 仮想サーバ/ICA プロキシ/CVPN/RDP プロキシ)、または、AAA 仮想サーバとしてコンフィグするケースに影響を及ぼすものだ。

影響を受ける製品は、以下のサポート対象バージョンである:

  • NetScaler ADC 12.1-FIPS:12.1-55.328-FIPS 以下
  • NetScaler ADC/NetScaler Gateway14.1:14.1-43.56 以下
  • NetScaler ADC/NetScaler Gateway13.1:13.1-58.32 以下
  • NetScaler ADC 13.1-FIPS/NDcPP:NDcPP 13.1-37.235-FIPS 以下/NDcPP 以下

セキュリティ研究者 Kevin Beaumont は、「CitrixBleed を覚えているだろうか。単純な HTTP リクエストでメモリがダンプされ、セッション・トークンが漏洩する脆弱性 CVE-2023-4966 である。 CVE-2025-5777 として帰ってきた」と、CVE-2025-5777 と CVE-2023-4966 との類似性を指摘している。

ゲートウェイまたは AAA 仮想サーバとしてコンフィグされた NetScaler デバイスから、攻撃者によるメモリの読み取りが可能になる点を、彼は強調している。このようなコンフィグは、大規模組織におけるリモート・アクセス環境において一般的なものである。

Kevin Beaumont は、「メモリには機密情報が含まれている可能性があり、セッション・トークンを再利用することで、多要素認証 (MFA) をバイパスし、Citrix セッションを奪うことも可能になる。それこそが、CitrixBleed の本質的な問題だった」と説明している。

Shodan スキャンによると、5万6,500件を超える NetScaler ADC/Gateway のインターネット露出が確認されているが、脆弱性 CVE-2025-5777 が放置されているシステムの数は明らかになっていない。

その一方で Citrix は、管理インタフェースに影響する、別の深刻な脆弱性 CVE-2025-5349 にも対応している。この問題は、不適切なアクセス制御に起因し、NSIP/クラスタ IP/ローカル GSLB IP などにアクセス可能な、攻撃者により悪用されるという。

ユーザーに対して強く推奨されるのは、修正済みの NetScaler ADC/Gateway バージョンへとアップグレードし、リスクを軽減することだ。

さらに Citrix が推奨するのは、アップグレード後におけるリスクを完全に排除するために、すべてのアクティブな ICA/PCoIP セッションを終了するコマンドを実行することだ。

Beaumont によると、CitrixBleed 2 に関連する攻撃は6月中旬から始まり、RansomHub グループに関連付けられる1つの IP アドレスが確認されているという。また、GreyNoise は、米国/フランス/ドイツ/インド/イタリアの5か国からの発信で用いられた 10 個の悪意の IP を、この 30日間に追跡している。

CVE-2025-5777 cisa

なお Citrix は、今回の脆弱性に関して、Positive Technologies と ITA MOD CERT に謝意を表明しているが、CVE-2025-5777 の発見者については不明であるという。

拘束力のある運用指令 (BOD) 22-01 に基づき FCEB (Federal Civilian Executive Branch) 機関は、このカタログ で特定された脆弱性に対して、指定された期限までに対処し、攻撃からネットワークを保護する義務がある。CISA は FCEB 機関に対して、2025年7月11日までに、脆弱性 CVE-2025-5777 に対応するよう命じている。

Citrix NetScaler で発見された深刻な脆弱性 CVE-2025-5777 ですが、CISA から緊急対応が呼びかけられています。過去の CitrixBleed と同様に、メモリからセッション情報が漏洩する恐れがあり、多要素認証を回避される危険もあると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Citrix Bleed で検索も、ご参照ください。