Citrix NetScaler ADCおよびNetScaler GatewayのCVE-2025-5777は、CVSS v3.1評価9.3(Critical)の脆弱性で「CitrixBleed 2」と呼ばれる。
この脆弱性は2025年6月17日にCitrixが開示し、同時にパッチが発行された。影響を受けるのはゲートウェイ設定またはAAA仮想サーバーとして構成されたNetScalerデバイスで、VPN仮想サーバー、ICA Proxy、CVPN、RDP Proxyが含まれる。
攻撃者は認証なしでリモートからメモリ内のセッショントークンなどの機密情報を読み取り、多要素認証をバイパスしてユーザーセッションを乗っ取ることが可能である。
watchTowr Labsは2025年7月5日に脆弱性分析と概念実証を公開し、Horizon3.aiは2025年7月8日(月曜日)に独自のエクスプロイトを発表した。ReliaQuestは中程度の信頼度で実際の攻撃での悪用を確認したと報告している。
攻撃手法は、ログインパラメータに値を含まない特別に細工されたHTTPリクエストを送信することで、システムが未初期化のメモリデータを応答に含めてしまう仕組みを悪用する。
具体的には以下のバージョンが影響を受ける。
- NetScaler ADC and Gateway 14.1(14.1-43.56より前)
- NetScaler ADC and Gateway 13.1(13.1-58.32より前)
- NetScaler ADC 13.1-FIPS and NDcPP(13.1-37.235より前)
- NetScaler ADC 12.1-FIPS(12.1-55.328より前)
From: 
CitrixBleed 2 exploits are on the loose as security researchers yell and wave their hands
【編集部解説】
CitrixBleed 2(CVE-2025-5777)は、単なる脆弱性報告を超えて、現代のリモートアクセス環境における根本的な課題を浮き彫りにしています。この問題を技術的な観点から深く掘り下げ、企業のデジタル変革に与える影響を考察してみましょう。
メモリリーク攻撃の技術的メカニズム
CitrixBleed 2の攻撃手法は、一見単純ながら極めて巧妙です。攻撃者は認証エンドポイントに対して、ログインパラメータを意図的に不完全な形で送信します。具体的には、「login」フィールドに等号やバリューを含めずにHTTP POSTリクエストを送ることで、バックエンドのC言語コードが適切にメモリを初期化できない状態を作り出します。
この結果、システムは未初期化のスタックメモリデータを“というXMLタグ内に含めて応答してしまいます。これは、メモリ管理の基本原則である「使用前の初期化」が徹底されていないことを意味し、低レベルプログラミングにおける典型的な脆弱性パターンといえるでしょう。
従来のCitrixBleedとの本質的違い
2023年に猛威を振るったCitrixBleed(CVE-2023-4966)との類似性が指摘されていますが、Citrixは両者に関連性はないと主張しています。しかし、技術的な観点から見ると、どちらもメモリからの情報漏洩を悪用してセッション乗っ取りを可能にする点で共通しています。
セッショントークンは、ブラウザセッションに限定されるクッキーとは異なり、API呼び出しや永続的なアプリケーションセッションなど、より広範囲な認証フレームワークで使用されます。これにより、攻撃者はユーザーがブラウザセッションを終了した後でも、より長期間にわたってアクセスを維持できる可能性があります。
実際の攻撃事例と深刻な影響
ReliaQuestの研究者が報告した攻撃指標は、この脆弱性の深刻さを物語っています。攻撃者は盗取したセッショントークンを使用してMFAをバイパスし、複数のIPアドレス間でセッションを再利用していました。さらに、ADExplorer64.exeツールを使用したActive Directory偵察活動も確認されており、これは組織内部への本格的な侵入を示唆しています。
特に注目すべきは、コンシューマーVPNサービスのデータセンターIPからのアクセスが確認されていることです。これは攻撃者が意図的に身元を隠蔽しようとしていることを示しており、組織的な攻撃の可能性を示唆しています。
セキュリティ研究コミュニティの対応ジレンマ
興味深いのは、セキュリティ研究者たちの対応です。watchTowr Labsは当初、概念実証コードの公開を控える方針を示していました。しかし、「最小限の情報共有では、ユーザーが内部アラームを発すべきかどうかの判断が困難になる」として、最終的に詳細な技術分析を公開しました。
この判断は、セキュリティ研究における永続的なジレンマを体現しています。情報開示により防御側の対策が促進される一方で、悪意のある攻撃者にも同様の情報が提供されてしまうという二面性です。
パッチ適用の現実的課題
Citrixは6月に脆弱性を開示し、同時にパッチを提供しましたが、「相当な割合」のユーザーがまだ適用していない状況です。これは、NetScaler製品が企業の重要インフラに深く組み込まれており、パッチ適用には慎重な計画と検証が必要なためです。
影響を受けるバージョンには、NetScaler ADC and Gateway 14.1(14.1-43.56より前)、13.1(13.1-58.32より前)、13.1-FIPSおよび13.1-NDcPP(13.1-37.235より前)、12.1-FIPS(12.1-55.328より前)が含まれます。特に、バージョン12.1と13.0はサポート終了(EOL)となっており、サポート対象リリースへのアップグレードが必要です。
長期的な影響と業界への示唆
この事件は、エンタープライズ向けネットワーク機器のセキュリティ設計における根本的な課題を浮き彫りにしています。メモリ安全性の確保は、C言語ベースのシステムにおいて長年の課題でしたが、現代のサイバー攻撃の巧妙化により、その重要性はさらに高まっています。
今後、ベンダー各社はメモリ安全な言語への移行や、より厳格な入力検証機能の実装を検討する必要があるでしょう。また、ゼロトラスト・アーキテクチャの採用により、単一の認証ポイントに依存するリスクを分散させる取り組みも加速すると予想されます。
未来への教訓
CitrixBleed 2は、デジタル変革の進展とともに、セキュリティリスクも進化し続けることを改めて示しています。企業は単なる技術的対策だけでなく、インシデント対応計画の策定、定期的なセキュリティ監査、そして従業員のセキュリティ意識向上など、包括的なアプローチが求められています。
この事件を通じて、私たちは改めて「セキュリティは継続的なプロセスである」という基本原則を再認識する必要があるでしょう。
【用語解説】
CVE(Common Vulnerabilities and Exposures)
脆弱性に割り当てられる識別番号システム。CVE-2025-5777のように年号と連番で構成される。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0.0から10.0で評価する標準システム。9.0以上は「Critical(緊急)」に分類される。
メモリリーク
プログラムが本来アクセスすべきでないメモリ領域の情報を外部に漏洩させる現象。攻撃者が機密データを取得する手法として悪用される。
セッショントークン
ユーザーの認証状態を維持するためにサーバーが発行する一意の識別子。クッキーよりも長期間有効で、API呼び出しなどに使用される。
多要素認証(MFA)
パスワードに加えて、SMSコードや認証アプリなど複数の認証要素を組み合わせるセキュリティ手法。
概念実証(PoC:Proof of Concept)
脆弱性が実際に悪用可能であることを実証するためのサンプルコード。研究目的で公開されるが、悪用される危険性もある。
AAA仮想サーバー
Authentication(認証)、Authorization(認可)、Accounting(アカウンティング)を提供する仮想サーバー。企業のアクセス制御の中核となる。
ICA Proxy
Citrix独自のIndependent Computing Architectureプロトコルを使用したリモートアクセス技術。
境界外読み取り(Out-of-bounds Read)
プログラムが割り当てられたメモリ領域の境界を超えてデータを読み取る脆弱性。機密情報の漏洩につながる可能性がある。
未初期化メモリ
プログラムで使用前に適切に初期化されていないメモリ領域。以前の処理で使用されたデータが残存している可能性がある。
【参考リンク】
Citrix公式サイト(外部)
アプリケーション配信とセキュリティソリューションを提供する多国籍企業
NetScaler公式サイト(外部)
アプリケーション配信コントローラーとセキュリティソリューションを提供
Cloud Software Group公式サイト(外部)
エンタープライズインフラソフトウェアソリューションの大手プロバイダー
watchTowr公式サイト(外部)
攻撃面管理を再定義する継続的自動レッドチーミングプラットフォーム
Horizon3.ai公式サイト(外部)
攻撃的セキュリティ研究と侵入テストサービスを提供する企業
ReliaQuest公式サイト(外部)
セキュリティオペレーションプラットフォームを提供する企業
【参考記事】
CVE-2025-5777: CitrixBleed 2 Write-Up… Maybe?(外部)
Horizon3.aiによる技術的分析と実際の攻撃手法の詳細解説
NetScaler Critical Security Updates for CVE-2025-6543 and CVE-2025-5777(外部)
Cloud Software Groupによる公式説明と両脆弱性の違いについて
Researchers Share CitrixBleed 2 Detection Analysis(外部)
watchTowrによる検出スクリプト公開とReliaQuestの悪用証拠発見報告
【編集部後記】
皆さんの組織では、リモートアクセスのセキュリティ対策はどのように管理されていますか?今回のCitrixBleed 2のような脆弱性は、私たちが日常的に使っているVPNやリモートデスクトップ環境にも潜んでいる可能性があります。
もし皆さんがIT担当者でしたら、パッチ適用のタイミングをどう判断されますか?業務への影響を最小限に抑えながら、セキュリティを確保するバランスは本当に難しいものです。また、一般のユーザーとして、企業のセキュリティ対策について疑問に思うことはありませんか?
私たちinnovaTopia編集部も、この複雑なセキュリティの世界を皆さんと一緒に学んでいきたいと思っています。ぜひ、皆さんの経験や疑問をお聞かせください。
