Citrix NetScaler の脆弱性 CVE-2025-5777/6543:依然として 7,000 台以上のデバイスが危険な状態

7000+ Citrix NetScaler Devices Still Vulnerable to CVE-2025-5777 and CVE-2025-6543

2025/08/12 CyberSecurityNews — 7,000台を超える Citrix NetScaler アプライアンスが、深刻な脆弱性 CVE-2025-5777CVE-2025-6543 に対して、パッチ未適用の状態にある。Citrix が複数の勧告を行い、CISA が KEV カタログにエントリしたのに加えて、オランダ NCSC などの各国のサイバー・セキュリティ機関が情報を更新しているが、依然として脅威アクターたちは、大量の未対策デバイスを標的としている。

主なポイント
  • 7,000台を超える Citrix NetScaler アプライアンスが、CVE-2025-5777 (3,312台)/CVE-2025-6543 (4,142台) に対してパッチ未適用である。
  • アクティブなゼロデイ攻撃が確認されている。
  • 修正ビルドへの即時アップグレードが不可欠である。
広範な脆弱性と実環境での悪用

Shadowserver Foundation のテレメトリによると、NetScaler の各 IP に影響を及ぼしているのは、以下の脆弱性である。

  • CVE-2025-5777:3,312 台が、不十分な入力検証によるメモリオーバーリードの脆弱性に晒されている。公開されている PoC エクスプロイトが可能にするのは、VPN 仮想サーバ/AAA 仮想サーバの HTTP ハンドラーの操作である。その結果として、境界外読み取り (CWE-125) が発生し、リモート・コード実行が可能になるという。
  • CVE-2025-6543:4,142 台が、メモリ・オーバーフローの脆弱性に晒されている。それにより、意図しない制御フローやサービス拒否が生じる可能性がある。高負荷環境の RDP プロキシ・モジュールにおいて、バッファ・オーバーフロー (CWE-119) が悪用されると、Web シェルの展開にいたる恐れがある。
IPs Exposed

これらの脆弱性の深刻度は、Critical (CVSS v4.0:9.0) と評価されており、攻撃者は認証を必要とすることなく、システム全体への侵害を引き起こす可能性を手にする。

自動化されたスキャンでは、すでに大規模なプローブ攻撃が検出され、センサー・ログでは、実環境でのペイロード配信も確認されている。

すでに Citrix は、2025年6月の時点で、CVE-2025-5777/CVE-2025-6543 に対するセキュリティ情報を発行している。影響を受けるバージョンは、以下の通りである。

影響を受けるバージョン
  • ADC & Gateway 14.1:14.1-43.56 (5777) 未満/14.1-47.46 (6543) 未満
  • ADC & Gateway 13.1:13.1-58.32 (5777) 未満/13.1-59.19 (6543) 未満
  • 13.1-FIPS / NDcPP ビルド:13.1-37.235 (5777)/13.1-37.236 (6543) 未満
  • 12.1-FIPS:CVE-2025-5777 の影響 (ハイブリッドでは CVE-2025-6543 も含む)
Vulnerable Location
緩和策およびガイドライン

Cloud Software Group が強く推奨するのは、修正リリースへの向けた速やかなアップグレードである。また、パッチ適用後にクリーンアップ・コマンドを実行し、残存する脆弱性を解消することも推奨されている。

これらの手順は CISA の KEV ガイダンスおよび、オランダ NCSC の多層防御推奨に準拠しており、ネットワークのセグメンテーション/継続的監視/フォレンジック対策を重視するものである。

つまり、パッチ適用だけでは、高度な持続的脅威 (APT) の根絶が保証されないため、ユーザー組織にとって必要なことは、以下の対策の実施となる。

  • IOC の検証:IDS/IPS と SIEM のログを相互参照し、Web シェル・シグネチャおよび、異常な HTTP/HTTPS トラフィック・パターンを確認する。
  • コンフィグの強化:NetScaler 管理インターフェイス (NSIP) に置いて、最小権限アクセスの原則を適用し、管理 VLAN を分離する。
  • 多層防御の実装:ネットワーク ACL/WAF ルール/エンドポイント EDR を組み合わせ、エクスプロイト試行およびラテラル・ムーブメントを検出する。
  • 定期的な監査:脆弱性スキャン/ペネトレーション・テスト/パッチ監査を毎月実施する。

7,000台以上の Citrix NetScaler デバイスが、依然として脆弱性 CVE-2025-5777/CVE-2025-6543 を抱えているため、セキュリティ・チームは優先的に、この修復作業を実施する必要がある。

迅速な対応を怠ると、データ流出/サービス停止などの侵害リスクが高まる。重要なアプリケーション配信インフラを継続的に保護するためには、ベンダー/CERT/サイバー・セキュリティ・コミュニティ間での連携が不可欠である。

Citrix NetScaler の脆弱性 CVE-2025-5777CVE-2025-6543 が放置され、依然として危険な状態を引きずる、多数のデバイスが検出されているようです。いずれも、認証を必要とすることなく悪用が可能であり、VPN/RDP プロキシなど重要機能を介した攻撃が可能であるため、影響の範囲も広大となります。ご利用のチームは、いま一度、ご確認ください。よろしければ、NetScaler で検索も、ご参照ください。