Citrix NetScaler のゼロデイ脆弱性 CVE-2025-6543:2025年5月からの悪用を示唆 – 蘭 NCSC

Critical Citrix 0-Day Vulnerability Exploited Since May, Leaving Global Entities Exposed

2025/08/30 CyberSecurityNews — Citrix NetScaler 製品に存在する深刻なゼロデイ脆弱性 CVE-2025-6543 は、パッチが公開される以前の 2025年5月ころから、脅威アクターにより積極的に悪用されていたという。当初、Citrix は、この脆弱性を “意図しない制御フローとサービス拒否につながるメモリ・オーバーフローの脆弱性” と過小評価していたが、その後に判明したのは、未認証のリモート・コード実行 (RCE) の脆弱性だった。それにより、世界中の政府機関や法務サービスに対して、広範なセキュリティ侵害が生じている。

Citrix は、2025年6月下旬に、CVE-2025-6543 に対するパッチを公開した。しかし、その時点において、すでに攻撃者は、この脆弱性を数週間にわたり悪用していた。この脆弱性を悪用する攻撃者たちは、NetScaler リモート・アクセス・システムへの侵入を達成し、パッチ適用後も持続的なアクセスを確保するための、Web シェルの展開や認証情報の窃取を可能にしていた。

セキュリティ研究者である Kevin Beaumont は、この脆弱性の深刻さと継続的な悪用を認識していたはずの Citrix が、顧客に対して脅威の全容を十分に伝えていなかったと示唆している。同社のスタンスは、要求があった場合のみ、侵害確認用スクリプトを限定的に提供するというものだが、スクリプトの制限事項について、十分な説明が行われていなかった。

この攻撃の実態を明らかにする上で、オランダの National Cyber Security Centre (NCSC) が重要な役割を果たした。同センターの調査により明らかになったのは、この脆弱性はゼロデイ攻撃として悪用され、攻撃者が積極的に痕跡を隠蔽していたことで、フォレンジック分析が困難になったことだ。

2025年8月の時点で NCSC が公開した報告書には、「オランダ国内の複数の重要組織に対する攻撃が成功している」と記されており、また、遅くとも5月上旬から、この脆弱性が悪用されていたことが確認されている。

CVE-2025-6543 を悪用した高度な脅威アクターは、ユーザー・セッション窃取に悪用された、別のゼロデイ脆弱性 CVE-2025-5777 (別名 CitrixBleed 2) の悪用にも関与しているとみられている。

エクスプロイトの概要

この脆弱性 CVE-2025-6543 の悪用に成功した攻撃者は、脆弱な NetScaler デバイスの “/cgi/api/login” エンドポイントに対して、悪意のクライアント証明書を送信し、システム・メモリを書き換えを可能にする。

この攻撃者は、数百回にわたり悪意のリクエストを送信することでメモリを上書きし、システム上で任意のコードを実行できる状態にしていた。この手法により攻撃者は、ネットワーク侵害への足掛かりを築き、窃取した LDAP サービス・アカウントの認証情報を悪用して、Active Directory 環境へと横方向に移動している。

インターネットに接続された Citrix NetScaler デバイスを使用する、すべての組織に対してセキュリティ専門家たちが推奨するのは、セキュリティ対策の速やかな実施である。システム管理者にとって必要なことは、侵害の兆候の調査であり、具体的には、Web アクセス・ログの分析による、”/cgi/api/login” への大規模な POST リクエストの確認となる。

NetScaler ログの、エラーコード 1245184 (無効なクライアント証明書) は、悪用試行を示す有力な指標である。NCSC は GitHub 上でスクリプトを公開し、稼働中のホストのコア・ダンプ・ファイルで、侵害を確認できるよう支援している。

システムが侵害された可能性がある場合には、以下の手順が推奨される。

  • NetScaler デバイスを直ちにオフラインにする。
  • フォレンジック分析のためのシステム・イメージを作成する。
  • LDAP サービス・アカウントの認証情報を変更し、横展開を防止する。
  • 最新の認証情報を用いて、パッチ適用済みの、新しい NetScaler インスタンスをデプロイする。

米国の Cybersecurity and Infrastructure Security Agency (CISA) は、CVE-2025-6543 を Known Exploited Vulnerabilities (KEV) カタログに追加し、パッチ適用と悪意の兆候に対する監視を緊急に実施すべきと、米連邦組織に対して強く求めている。

Citrix NetScaler に発見された、ゼロデイ脆弱性 CVE-2025-6543 について解説する記事です。この脆弱性 CVE-2025-6543 が報告されたのは、2025年6月末ですが、それよりも以前から、悪用が始まっていたことが、オランダの National Cyber Security Centre (NCSC) の調査により、判明したとのことです。文中に、侵害の兆候を確認するための、いくつかの方法が示されています。よろしければ、CVE-2025-6543 で検索も、ご参照ください。