CitrixBleedの深刻な脆弱性が悪用中:NetScalerゲートウェイの緊急セキュリティパッチ適用を
TL;DR
CitrixBleedの深刻な脆弱性が悪用中:NetScalerゲートウェイの緊急セキュリティパッチ適用を
Citrix NetScaler ADCまたはGatewayアプライアンスを運用している場合は、今すぐ作業を中断してパッチログを確認してください。現在、CVE-2026-8451と、以前から存在する危険なCVE-2025-5777という2つの脆弱性が、脅威アクターによって悪用されています。これらは単なる理論上のリスクではなく、認証をバイパスしてセッションをハイジャックするために実際に使用されており、CISA(米国サイバーセキュリティ・インフラセキュリティ庁)も「悪用が確認された脆弱性(KEV)カタログ」に追加しました。
問題の核心は、これらのアプライアンスがメモリから情報を漏洩させている点です。認証されていない攻撃者が、セッション・トークンやMFA認証情報などの機密データをメモリから直接吸い上げています。攻撃者はパスワードも招待も必要としません。適切なエンドポイントを突くだけで、アプライアンスが鍵を差し出してしまうのです。
侵害の構造:CVE-2025-5777とCVE-2026-8451
「CitrixBleed 2」ことCVE-2025-5777について説明します。この脆弱性は非常に単純であるため危険です。攻撃者は、/p/u/doAuthentication.do に対して不正な不完全POSTリクエストを送信することで、リクエストごとに127バイトのメモリをスクレイピングできます。一見小さく見えますが、SAML StateContextやアクティブなセッション・トークンを盗み出すには十分です。Splunk Research は2025年6月中旬からこの動きを追跡しており、攻撃者がHeadlessChromeのような自動化スクリプトを使用して大規模に攻撃を行っていることを指摘しています。
さらに、新たな頭痛の種としてCVE-2026-8451があります。これはCVSSスコア8.8の認証前メモリ読み取り(memory-overread)の欠陥です。SAMLパーサーを標的とし、特にNSC_TASSクッキーを悪用します。Tech Insider が指摘したように、この脆弱性の武器化のスピードは恐ろしいもので、2026年6月30日に公開されてから24時間以内にハニーポットで悪用の試みが捕捉されました。
影響と緩和策:今すぐすべきこと
これらの欠陥は認証の「前」に発生するため、標準的な境界防御は事実上無力です。ファイアウォールで防ぐことはできません。脅威の概要は以下の通りです。
| 脆弱性ID | 主な攻撃ベクトル | 影響 |
|---|---|---|
| CVE-2025-5777 | /p/u/doAuthentication.do |
セッション・トークン/MFAの盗難 |
| CVE-2026-8451 | SAMLパーサー (NSC_TASS) | メモリ読み取り/データ漏洩 |
ネットワークを侵害から守るには、迅速な行動が必要です。以下のチェックリストに従ってください。
- パッチの適用: 週末まで待ってはいけません。2026年6月30日にCitrixがリリースした緊急アップデートを適用してください。中間的な対策はなく、パッチを適用しなければ危険にさらされたままです。
- セッションの強制終了: これを忘れる人が多いのですが、パッチを適用しても、攻撃者が盗んだトークンで既に内部に潜んでいる可能性があります。不正アクセスを排除するために、すべてのアクティブなセッションをグローバルに終了させる必要があります。
- 異常の調査: Splunk Researchのネットワーク監視ガイド を使用して、これらのエクスプロイトが残す特定のテレメトリを探してください。
- ログの監査: 不完全なPOSTリクエストや、不審に大きなHTTPレスポンスがないか確認してください。これらはメモリ読み取り攻撃が進行している兆候です。
エスカレーションサイクル
私たちは以前にも同じような状況を経験しています。セキュリティ研究者は2026年初頭から、NetScalerの欠陥が大規模な悪用波の予兆であると警告してきました。概念実証(PoC)が公開された瞬間、攻撃の門戸が開かれます。自動化された日和見的な攻撃が即座に続き、「深刻な脆弱性」が一夜にして「全面的なインシデント」へと変わります。
CISAがこれらをフラグ立てしたことは、政府機関と民間セクターの両方にとって非常に重大な警告です。インフラを危険にさらさずに運用を継続できる「回避策」は存在しません。パッチを適用するしかないのです。そうしなければ、攻撃者がMFAをバイパスし、ネットワーク内に永続的な足場を築くことを許してしまいます。
既に侵害された疑いがある場合でも、パニックにならず、体系的に対応してください。Splunk ResearchのWebベースの検出ガイダンス は、これらの攻撃で使用される特定のHTTPリクエスト構造を特定するための優れたリソースです。そのデータをSIEMに取り込み、異常がないか確認してください。
結局のところ、これらのアプライアンスは最も機密性の高いリソースへの玄関口です。ドアの鍵が壊れているなら、「入らないでください」という看板を立てるだけでは不十分で、鍵を修理しなければなりません。パッチ適用はドアを閉める唯一の方法であり、セッションの無効化は現在内部にいる侵入者を追い出す唯一の方法です。警戒を怠らず、常に最新の状態を保ち、パッチが検証されセッションが終了するまでは安全だと思わないでください。