CISA Adds Three Exploited Vulnerabilities to KEV Catalog Affecting Citrix and Git
2025/08/26 TheHackerNews — 8月25日 (月) に、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、現在も悪用されている証拠に基づき、3件の脆弱性を Known Exploited Vulnerabilities (KEV) に登録した。それらは、Citrix Session Recording の脆弱性 CVE-2024-8068/CVE-2024-8069と、Git の脆弱性 CVE-2025-48384 である。
それぞれの脆弱性の詳細は、以下の通りである。
CVE-2024-8068 (CVSS:5.1):Citrix Session Recording における不適切な権限管理の脆弱性。Session Recording サーバと、Windows Active Directory ドメイン内で、攻撃者が認証済みユーザーである場合、NetworkService アカウントへの権限昇格が生じる可能性がある。
CVE-2024-8069 (CVSS:5.1):Citrix Session Recording における、信頼できないデータに対するデシリアライゼーションの脆弱性。攻撃者が Session Recording サーバとイントラネット内の認証済みユーザーである場合に、NetworkService アカウント権限で限定的なリモート・コード実行の可能性が生じる。
CVE-2025-48384 (CVSS:8.1):Git におけるリンク・フォローの脆弱性。コンフィグ・ファイル内のキャリッジ・リターン (CR) 文字の不統一な処理により、任意のコード実行につながる可能性がある。
Citrix の2件の脆弱性は修正済みである。2024年7月14日の時点で、watchTowr Labs からの責任ある開示を受けた同社は、2024年11月に脆弱性を解消した。その一方で、Git の脆弱性 CVE-2025-48384 は、2025年7月初旬に対処されている。この情報開示を受けて、Datadog から PoC エクスプロイトがリリースされている。
Arctic Wolf は CVE-2025-48384 について、「サブモジュール・パスの末尾に CR が含まれている場合に、そのパスが変更されると、Git が意図しない場所で、サブモジュールが初期化される可能性がある。それにより、サブモジュール・フック・ディレクトリを指すシンボリック・リンクと、実行可能なチェック・アウト後フックと組み合わされると、リポジトリのクローン作成により、意図しないコード実行にいたる可能性がある」と指摘している。
いつもの通り CISA は、このエクスプロイトの具体的な活動や、背後にいる人物、技術的な詳細について明らかにしていない。連邦民間行政機関 (FCEB) は、アクティブな脅威からネットワークを保護するために、2025年9月15日までに、必要な緩和策を適用する必要がある。
3件の脆弱性が、CISA KEV に登録されました。Citrix Session Recording の2件 (CVE-2024-8068/8069) は、内部的な処理の不備が根本にあります。その一方で、Git の脆弱性 (CVE-2025-48384) は、キャリッジリターン (CR) 文字の統一されない扱いにより、シンボリック・リンク操作と組み合わされ、任意のコード実行につながるものとのことです。よろしければ、CISA KEV で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.