NetScaler の脆弱性 CitrixBleed 2 – CVE-2025-5777:PoC リリース以前から始まっていた悪用

Hackers Actively Exploited CitrixBleed 2 Flaw Ahead of PoC Disclosure

2025/07/17 gbhackers — Citrix NetScaler アプライアンスに存在する、深刻な脆弱性 CVE-2025-5777 (通称 CitrixBleed 2) を、PoC 公開の約2週間前から脅威アクターが悪用していたという事実を、サイバー・セキュリティ研究者たちが発見した。それが浮き彫りにするのは、現代の攻撃キャンペーンの巧妙さである。したがって、Citrix NetScaler アプライアンスを運用する組織にとって、この脆弱性 CVE-2025-5777 は、きわめて重大なセキュリティ・リスクとなっている。

初期の悪用タイムライン

2025年6月23日の時点で GreyNoise のセキュリティ研究者たちは、 CVE-2025-5777 に対する最初の悪用試行を観測し、これが持続的な攻撃キャンペーンの始まりであると報告した。

このタイムラインが示すのは、セキュリティ・コミュニティ全体が脅威に気付く遥か以前に、この脆弱性の詳細に、脅威アクターたちがアクセスしていたという、懸念すべきパターンである。このインシデントの時系列は、脅威の状況の巧妙化を示している。

最初のエクスプロイトは 6月23日に開始され、7月4日には PoC エクスプロイトが公開されている。その後の 7月7日に、GreyNoise は追跡タグを作成した。

続いて 7月9日に、米国の Cybersecurity and Infrastructure Security Agency (CISA) もエクスプロイトを確認し、Known Exploited Vulnerabilities (KEV) カタログに追加した。

CVEの詳細
CVE DetailsInformation
CVE IDCVE-2025-5777
Vulnerability TypeMemory overread vulnerability
Affected ProductCitrix NetScaler
Common NameCitrixBleed 2
First ExploitationJune 23, 2025
PoC ReleaseJuly 4, 2025
KEV AdditionJuly 9, 2025

このエクスプロイト・キャンペーンが示唆するのは、日和見的なスキャンではなく、意図的な標的型攻撃を、脅威アクターが実行していたことであり、高度な APT 活動の特徴を備えるものだった。

攻撃元と意図

この脆弱性に対する初期の攻撃は、中国に所在する悪意の IP アドレスから発信されており、そこから想定されるのは国家の関与あるいは、地域インフラを有する高度な犯罪組織の関与である。

これらの脅威アクターが実行したのは、広範囲に及ぶスキャン・キャンペーンではなく、Citrix NetScaler アプライアンスをエミュレートするように設定された、GreyNoise センサーを主たる標的にするものだった。

この標的を絞ったアプローチは、潜在的に脆弱なシステムに関する、事前に偵察して情報を収集するものであり、攻撃が著しく高度化していることを示している。

防御側の対応と推奨事項

この脆弱性の深刻さを浮き彫りにするのは、サイバー・セキュリティ機関の迅速な対応である。GreyNoise が追跡タグを公開した直後に、CISA が脆弱性への攻撃活動を確認したことが示すのは、民間のセキュリティ研究者と政府機関の効果的な連携である。

ユーザー組織にとって必要なことは、インターネットへの露出を減らし、誤検知を抑制するために、動的 IP ブロック機能などの防御策を速やかに実施することだ。セキュリティ・チームが行うべきは、Citrix NetScaler アプライアンスへの優先的なパッチ適用と、この脆弱性に関連する侵害兆候の継続的な監視である。

いくつかのセキュリティ・ベンダーが開発する、強化された動的 IP ブロック・リストは、脅威を軽減するためのプロアクティブなアプローチである。新たな脅威が広範囲に悪用される前に、防御側の迅速に対応を可能にする環境の整備が重要となる。

Citrix NetScaler アプライアンスの脆弱性 CitrixBleed 2 – CVE-2025-5777 ですが、PoC 公開の以前から実際に悪用されていたようです。きわめて早い段階から、脅威アクターによる探索が行われ、精密な標的型の攻撃が試行されていたと、この記事は指摘しています。ご利用のチームは、十分に ご注意ください。よろしければ、CitrixBleed で検索も、ご参照ください。