🛡 概要
最近、Citrix NetScaler ADCおよびGatewayにおいて新たな脆弱性「CitrixBleed 2」が発見されました。この脆弱性は、以前の脆弱性に似たもので、認証を受けていない攻撃者が脆弱なデバイスから認証セッションクッキーをハイジャックできる可能性があります。Citrixは、CVE-2025-5777およびCVE-2025-5349として追跡される脆弱性について警告を発表しました。影響を受けるのは、NetScaler ADCおよびGatewayの特定のバージョンで、適切な更新が行われない限り、攻撃者によるリスクが高まります。
🔍 技術詳細
CVE-2025-5777は、範囲外メモリ読み取りによる重大な脆弱性であり、認証を受けていない攻撃がメモリの不正な部分にアクセスすることを可能にします。この脆弱性は、Gatewayとして設定されたNetScalerデバイスに影響を及ぼし、VPN仮想サーバーやリモートデスクトッププロキシなどが含まれます。CVE-2023-4966として知られる以前の脆弱性に似ており、攻撃者はセッショントークンや資格情報などの機密データにアクセスできる可能性があります。また、CVE-2025-5349は、NetScaler管理インターフェースの不適切なアクセス制御に関するもので、特定のIPにアクセスできる攻撃者によって悪用される可能性があります。
⚠ 影響
これらの脆弱性が悪用されると、攻撃者はユーザーセッションをハイジャックし、多要素認証(MFA)を回避することができます。特に、公開されているゲートウェイや仮想サーバーからのトークンを再利用されるリスクがあるため、企業は深刻な影響を受ける可能性があります。さらに、Citrixは、これらの脆弱性が積極的に悪用されているかどうかは明言していませんが、過去の事例を考慮すると、十分な注意が必要です。特に、以前のCitrixBleed脆弱性の際には、セッションの秘密が盗まれ、パッチ適用後にセッションがハイジャックされる事例が多発しました。
🛠 対策
ユーザーは、NetScaler ADCおよびGatewayを最新のバージョンにアップデートすることが推奨されます。具体的には、14.1-43.56、13.1-58.32以降、13.1-NDcPP 13.1-37.235(FIPS)、および12.1-55.328(FIPS)への更新が必要です。更新後は、すべてのアクティブなICAおよびPCoIPセッションを終了することが重要です。これにより、以前に盗まれたセッションが使用されるのを防ぐことができます。セッションの確認には、show icaconnectionコマンドやNetScaler Gateway > PCoIP > Connectionsを使用し、疑わしい活動がないか確認することが推奨されます。その後、kill icaconnection -allおよびkill pcoipconnection -allコマンドを使用してセッションを終了します。
