CISAは、Citrix Bleed 2の脆弱性が積極的に悪用されていることを確認

ホームニュース* CISA は、アクティブな攻撃の確認後、既知の悪用脆弱性カタログに重大なCitrix NetScalerの脆弱性(CVE-2025-5777)を追加しました。

• 脆弱性「Citrix Bleed 2」は、認証のバイパスとメモリのオーバーリードを可能にし、機密データの露出の可能性を引き起こします。
• セキュリティ研究者とベンダーは、Citrixが自社のアドバイザリーをまだ更新していないにもかかわらず、攻撃者による継続的な悪用が報告されている。
• 攻撃者は重要なネットワーク機器を標的にし、企業のネットワークを危険にさらしています。そのためCISAは、即時のパッチ適用と強制セッション終了を推奨しています。
• GeoServerのCVE-2024-36401など、他の脆弱性も攻撃に利用されており、暗号通貨マイニングマルウェアの展開を含んでいます。 2025年7月10日、米国**サイバーセキュリティおよびインフラセキュリティ庁(CISA)**は、Citrix NetScaler ADCおよびGatewayに影響を与える重大なセキュリティ欠陥をその既知の悪用脆弱性(KEV)カタログに追加しました。この動きは、CVE-2025-5777として特定された脆弱性が、現在進行中のサイバー攻撃で利用されていることを確認しています。

• 広告 - CVE-2025-5777、別名「Citrix Bleed 2」は、CVSSスコアが9.3です。この脆弱性は、入力検証が不十分であることによって存在します。悪用されると、攻撃者はゲートウェイまたはAAA仮想サーバーとして設定されたシステムでの認証をバイパスすることができます。この問題はメモリのオーバーリードを引き起こし、機密情報が漏洩する可能性があります。

セキュリティ研究者ケビン・ボーモントによる報告では、悪用が6月中旬に始まったとされています。攻撃者のIPアドレスの一つは、RansomHub ランサムウェアグループに関連していると報じられました。GreyNoiseのデータによれば、アメリカ、フランス、ドイツ、インド、イタリアを主要ターゲットとする複数の国からの10の悪意のあるIPアドレスが確認されています。Citrixは、2025年6月26日現在、公式なアドバイザリーで悪用活動を確認していません。

この脆弱性のリスクは高いです。なぜなら、影響を受けたデバイスはしばしばVPNや認証サーバーとして機能するからです。*「セッショントークンや他の機密データが露出する可能性があり、これにより内部アプリケーション、VPN、データセンターネットワーク、および内部ネットワークへの不正アクセスが可能になる」とAkamaiは述べています。専門家は、攻撃者が脆弱なデバイスを悪用し、他の内部システムに移行することで企業ネットワークへのアクセスを広げる可能性があると警告しています。

CISAは、すべての組織に対し、6月17日の勧告に記載されているCitrixの修正ビルド（バージョン14.1-43.56以降など）に更新することを推奨しています。パッチ適用後、管理者はすべてのアクティブセッションを終了し、盗まれた認証トークンを無効にする必要があります。セキュリティチームは、認証エンドポイントでの異常な活動についてログをレビューする必要があります。この脆弱性は、標準的なマルウェアの痕跡を残さずにトークンの盗難やセッションの再生を可能にすることがあります。

別々の事件で、攻撃者は OSGeo GeoServer GeoTools (CVE-2024-36401 の重大な脆弱性を悪用し、韓国で NetCat および XMRig コインマイナーをインストールしています。インストールされると、これらのマイナーはシステムリソースを使用して暗号通貨を生成し、NetCat はさらなる悪意のある行動やデータ窃盗を可能にします。

)#前の記事:

• ビットコインが116,000ドルの記録を達成、ラリーが暗号市場を押し上げる
• ステーブルコインがDeFiを支配し、中央集権リスクに関する疑問を提起
• プラズマセット、メインネット前の7月17日のトークンセール、新しいステーブルコイン
• 英国、M&S、Co-op、ハロッズに対する大規模小売サイバー攻撃で4人を逮捕
• シャープリンク、最大の法人イーサリアム保有者としての記録に迫る

-広告-