CVE-2025-5777の検出：「CitrixBleed 2」と呼ばれるNetScaler ADCの新たな重大脆弱性が悪用のリスクに直面

主要なLinuxディストリビューションに影響を与えるSudoに関連する2件のローカル権限昇格脆弱性が公開された直後、注目はすでに実際の攻撃に悪用されているNetScaler ADCの重大なセキュリティ問題へと移りました。CVE-2025-5777として追跡されているこの脆弱性は、メモリオーバーフロー問題を特徴としており、予期せぬ制御フローの変更やサービス拒否（DoS）状態を引き起こす可能性があります。CVE-2025-5777が注目を集めたのは、以前に公開されたCVE-2023-4966（CitrixBleedとしても知られる）と類似しているためです。こちらはCitrixのNetScaler ADCおよびGatewayインスタンスに影響を与えました。そのため、CVE-2025-5777は非公式に「CitrixBleed 2」と呼ばれています。
。

CVE-2025-5777の悪用試行の検出

デジタル環境の複雑化に伴い、新たに特定される脆弱性の数は急速に増加しており、サイバーセキュリティチームへの負荷は著しく増大しています。2025年だけでも、NISTはすでに24,000件以上のCVEを記録しており、予測では年末までに49,000件を超える可能性があります。

SOC Primeプラットフォームにサインアップして、グローバルなアクティブ脅威フィードにアクセスしましょう。実用的な脅威インテリジェンスと専門的に厳選された検出コンテンツを通じて、最新のCitrixBleed 2バグの悪用試行を含む実際の攻撃を特定し、対応することが可能です。

具体的には、SOC Primeチームが提供する専用ルールにより、CVE-2025-5777（別名CitrixBleed 2）の悪用を識別できます。この脆弱性はレスポンス内のメモリリークを伴い、セッショントークンやその他の機密データの漏洩を招く可能性があります。

Possible CitrixBleed 2 Exploitation Attempt [CVE-2025-5777]

このルールは16種類のSIEM、EDR、データレイクプラットフォームに対応しており、MITRE ATT&CKフレームワークに準拠しています。主に「公開アプリケーションの悪用（T1190）」を通じた初期アクセス戦術に対応しています。さらに、SOC Primeプラットフォーム内の各ルールにはCTIリンク、攻撃タイムライン、監査設定など関連メタデータが豊富に付与されています。

CitrixBleed 2の悪用を検出する新たな検出コンテンツを追跡するために、セキュリティ専門家は対応するCVE-2025-5777タグを利用してThreat Detection Marketplaceを参照するか、以下のExplore Detectionsボタンを押してください。

Explore Detections

脆弱性悪用に関連するルールやクエリの全セットを探索したい方は、当社の豊富なSigmaルールライブラリを専用のCVEタグ付きで閲覧できます。

セキュリティエンジニアはまた、脅威情報に基づく検出エンジニアリングに特化した非エージェント型AIツールであるUncoder AIを活用できます。Uncoderは、IOCを実用的なハンティングクエリに自動変換したり、生の脅威レポートから検出ルールを生成したり、ATT&CKタグの予測やAIによるクエリ最適化、多プラットフォーム間の検出コンテンツ翻訳を可能にします。

CVE-2025-5777の解析 

Citrix NetScalerのゼロデイ脆弱性に新たに加わったCVE-2025-5777は、その前身であるCVE-2023-4966（CitrixBleed）に類似していることから「CitrixBleed 2」と名付けられ、研究者の注目を集めています。CVE-2023-4966の悪質な脆弱性は、2023年10月にパッチが公開された後も野外で積極的に悪用されていました。

CVE-2025-5777はCVSSスコア9.3の高危険度脆弱性で、不十分な入力検証に起因するメモリの過剰読み取りが原因です。前任者と同様に、CitrixBleed 2は境界外メモリ読み取りを悪用し、メモリから認証情報（特にセッショントークン）を直接抽出します。これらの盗まれたトークンは多要素認証（MFA）を回避し、アクティブなユーザーセッションを乗っ取るために使用され、重要システムへの不正アクセスを可能にします。ただし、この脆弱性を悪用するには、アプライアンスがGateway（VPN仮想サーバー、ICA Proxy、CVPN、RDP Proxyなど）またはAAA仮想サーバーとして設定されている必要があります。

両脆弱性とも認証バイパスとセッション乗っ取りを可能にしますが、CitrixBleed 2はセッションCookieからセッショントークンに焦点を移しています。Cookieは主にブラウザベースのセッションに紐づいていますが、トークンはAPI連携や長期的なアプリケーションセッションなど持続的認証メカニズムをサポートすることが多いです。そのため、攻撃者はユーザーがブラウザを閉じたりセッションを終了した後でも、複数システムに対し長期間かつステルスにアクセスを維持する可能性があります。

当初、CVE-2025-5777が管理インターフェースに影響を与えるとされていましたが、この記述は後にNIST CVEデータベースから削除されました。それでも、ReliaQuestの研究者は、野外での悪用を示唆する兆候（セッションハイジャック、消費者向けVPNに関連するIPの利用、Active Directory調査を示すツールの使用など）を観察しています。

この脆弱性は、NetScaler ADCおよびGatewayの以下のサポート対象バージョンに影響します：14.1の14.1-43.56以前、13.1の13.1-58.32以前、13.1-FIPS/NDcPPの13.1-37.235以前、12.1-FIPSの12.1-55.328以前。12.1および13.0バージョンはすでにサポート終了（EOL）であり、依然として脆弱な状態です。Citrixは顧客に対し、迅速なCVE-2025-5777対策としてサポートされる修正版へのアップグレードを強く推奨しています。さらに、ベンダーは高可用性ペアやクラスタ内のすべてのNetScalerアプライアンスを更新した後、すべてのアクティブなICAおよびPCoIPセッションを終了する特定コマンドの実行を推奨しています。これにより、パッチ適用前に開始された潜在的に侵害されたセッションを強制終了し、悪用後の活動リスクを低減します。

69,000以上のNetScaler GatewayおよびADCインスタンスが現在オンラインで公開されており、悪用リスクが高まっています。ただし、どの程度の数が脆弱なソフトウェアバージョンで稼働しているかは不明です。いくつかのベンダーはまだ悪用を確認していませんが、多くのセキュリティコミュニティはCitrixBleed 2の活発な悪用を近く予想しています。潜在的な脆弱性悪用試行を積極的に検出するために、セキュリティチームはAI、自動化機能、リアルタイム脅威インテリジェンスを備えたSOC Primeの包括的製品群に依拠しつつ、組織の防御力を強化できます。