Citrix、NetScaler ADCおよびGatewayの深刻なメモリオーバーリード脆弱性に対する緊急パッチを公開
TL;DR
Citrix、NetScaler ADCおよびGatewayの深刻なメモリオーバーリード脆弱性に対する緊急パッチを公開
NetScalerインフラストラクチャを運用している場合は、作業を中断して直ちにバージョンを確認してください。Cloud Software Groupは、NetScaler ADC、Gateway、およびConsole向けの緊急パッチを公開しました。CVSSスコアが9.3に達するものを含む一連の脆弱性が報告されており、攻撃者によるセッションの乗っ取り、機密データの盗聴、あるいはネットワークへの不正侵入を許す可能性があります。
これは「後で対応すればよい」という類の問題ではありません。これらの欠陥は、アプライアンスがメモリと認証を処理する中核部分に影響を及ぼします。
内訳:何が問題なのか?
今回の勧告では複数のバグが報告されていますが、特に深刻なものが2つあります。1つ目は、NetScaler GatewayおよびAAA仮想サーバーに影響を与えるメモリオーバーリードの脆弱性「CVE-2025-5777」です。2つ目は、SAML IDプロバイダー(IdP)として機能するシステムを標的とした境界外読み取りの脆弱性「CVE-2026-3055」です。
セキュリティコミュニティでは、悪用が活発に行われているかどうかについて意見が分かれています。すでに攻撃者がこれらの脆弱性を突こうとしているという報告がある一方で、広範囲な攻撃キャンペーンはまだ確認されていないという見方もあります。いずれにせよ、これほど高いスコアの脆弱性に対して、悪用の確認を待つのは賢明ではありません。
主要な脆弱性の概要は以下の通りです。
| 脆弱性 | CVSSスコア | 深刻度 | 主な影響 |
|---|---|---|---|
| CVE-2025-5777 | 9.3 | 深刻 | Gateway/AAAにおけるメモリオーバーリード |
| CVE-2026-3055 | 9.3 | 深刻 | 境界外読み取り (SAML IdP) |
| CVE-2025-5349 | 8.7 | 高 | 不適切なアクセス制御 |
| CVE-2026-4368 | 7.7 | 高 | ユーザーセッションの混同/競合状態 |
| CVE-2025-4365 | 6.9 | 中 | 任意のファイル読み取り |
例えば「CVE-2026-4368」は、ユーザーセッションを混乱させる競合状態を引き起こします。共有環境やマルチテナント環境では、あるユーザーが誤って別のユーザーのセッションコンテキストに入り込んでしまうという悪夢のような事態を招く可能性があります。これは、セキュアなゲートウェイを無防備な状態にしてしまう論理エラーの一種です。
修復のプレイブック
これらのパッチ適用は、単に「更新」ボタンを押して終わりではありません。これらの欠陥はメモリ管理に関わるため、「ゴースト」データが残らないようにシステムをフラッシュする必要があります。
まず、NetScalerの公式セキュリティアップデートページにアクセスし、環境に適したビルドを入手してください。14.1-66.59、13.1-62.23、または13.1-37.262(FIPS/NDcPP用)などが対象となります。
アップデートを適用した後も、以下の手順で修正が確実に反映されるようにしてください。
- セッションの強制終了: アップグレード後、すべてのアクティブおよび永続的なセッションを無効にする必要があります。これを行わないと、侵害された可能性のあるセッションが残存するリスクがあります。
- パイプのクリア: HAペアやクラスターノードでは、接続バッファを手動でクリアする必要があります。
kill icaconnection -allおよびkill pcoipConnection -allを実行し、汚染されている可能性のある残存データをパージしてください。 - コンソールのロックダウン: パッチを当てて終わりではありません。NetScalerコンソールセキュリティのベストプラクティスを確認し、管理インターフェースがパブリックインターネットに露出していないことを確認してください。
CERT-EUのセキュリティ勧告でも明記されている通り、これらは単なる軽微なバグではありません。認証の中核(特にSAML IdPおよびAAAサーバー)を突くものであるため、認証情報が盗まれるリスクは非常に現実的です。
境界防御の強化
ネットワークセキュリティの強化を検討していたのであれば、今がその時です。パッチ適用は第一歩に過ぎず、多層防御戦略の一部です。NetScaler構成ガイドラインを確認し、まずは管理インターフェースへのアクセス制限から始めてください。インターネットから到達可能である必要がないものは、制限すべきです。
Citrix公式サポート記事を使用して、ビルド要件を確認してください。環境はそれぞれ異なるため、特定のバージョン要件を見落とすと脆弱なままになる可能性があります。
脅威の状況は急速に変化しています。現時点での優先事項は、これらの脆弱性が侵害レポートの大きな見出しになる前に塞ぐことです。数週間後のメンテナンスウィンドウを待つのではなく、これらの更新をリストの最優先事項にしてください。公式チャンネルを注視し、ログをクリーンに保ち、これらの新しいパッチに対して検証を終えるまでは、現在の構成が「十分である」と想定しないでください。
セキュリティは終わりのないいたちごっこであり、現時点では攻撃者が一歩リードしています。パッチを適用し、セッションバッファをクリアしましょう。