Security NEWS TOPに戻る
バックナンバー TOPに戻る
米サイバーセキュリティ・社会基盤安全保障庁(以下CISA)は2025年7月10日、Known Exploited Vulnerability(KEV)カタログ*1(悪用が確認された脆弱性のカタログ)にCitrix NetScaler ADCおよびNetScaler Gatewayの脆弱性であるCVE-2025-5777を追加、更新しました。本脆弱性は本年6月17日に公開されたメモリ境界外読み取りの脆弱性となり、Webセッションのトークンの奪取が可能となる脆弱性となります。
お問い合わせ
お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。
NetScaler ADC/NetScaler Gatewayの脆弱性
NetScaler ADCはアプリケーションベースでの配信パフォーマンスの最適化やWAFの役割を果たすアプライアンスです。NetScaler Gatewayは社内および社内で使用しているSaaSなどへの単一のゲートウェイとして機能し、シングルサインオン(SSO)などの機能を持つものとなっています。いずれもDMZ上に存在することから外部からのアクセスが可能なアセットの代表格であり、過去にも脆弱性が悪用されてきたものとなります。このため特に悪用への対応が急がれるアセットといえます。
CVE-2025-5777の対象バージョン
CVE-2025-5777の対象となるバージョンは以下の通りです。いずれも更新バージョンへのアップデートが推奨されています。いずれも更新バージョンへのアップデートが推奨されています。
| 製品 | バージョン | 対象のビルド |
| NetScaler ADCおよびNetScaler Gateway | 14.1 | 14.1-43.56未満 |
| 13.1 | 13.1.58.32未満 | |
| NetScaler ADC | 13.1-FIPSおよびNDcPP | 13.1-37.235未満 |
| NetScaler ADC | 12.1-FIPS | 12.1-55.328未満 |
詳細については以下をご確認ください。
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420
CVE-2025-6543の対象バージョン
なお、CVE-2025-5777の後に公開された、同じくKEVカタログに掲載されている脆弱性CVE-2025-6543の対象バージョンは以下の通りです。こちらも併せて対応されることをおすすめします。
| 製品 | バージョン | 対象のビルド |
| NetScaler ADCおよびNetScaler Gateway | 14.1 | 14.1-47.46未満 |
| 13.1 | 13.1.58.32未満 | |
| NetScaler ADC | 13.1-FIPSおよびNDcPP | 13.1-37.236未満 |
詳細については以下をご確認ください。
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788
※CVE-2025-6543はNetScaler ADC 12.1-FIPSの対象外となっています。
※NetScaler ADCおよびNetScaler Gatewayの12.1と13.0はEOL(End of Life、サポート終了)となっており、アプライアンスをサポートされたバージョンにアップグレードすることが推奨されています。
なお、NetScalerを14.1 47.46または13.1 59.19にアップグレードした際に認証関連で問題が発生する可能性があることが公開されています。以下のナレッジベースの記事を参考までに掲載します。このほかにも冗長構成でのアップデートについては注意が必要となります。詳しくはご購入された販売代理店のサポート窓口やCitrixまでご相談ください。
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694826
SQAT.jpではKEV Catalogについて以下の記事でも取り上げています。ぜひあわせてご参照ください。
「2024年のサイバーセキュリティ振り返り-KEVカタログが示す脆弱性の実態- | SQAT®.jp」
「2025年Q1のKEVカタログ掲載CVEの統計と分析 | SQAT®.jp」
CVE-2025-5777(Citrix Bleed2)の脆弱性の概要とリスク
- リモートから認証なしで悪用可能
- 2023年に公開され、のちに悪用が確認された同様の脆弱性・Citrix Bleed(CVE-2023-4966)と同様にメモリ境界外読み取りの脆弱性であり、Citrix Bleed2と名付けられている
- 複数のセキュリティ企業から脆弱性公開後、脆弱性の再現などを含む分析や侵害に関する情報が公開されている
ただしCitrixは公に侵害事例や攻撃兆候について認めていない(日本時間2025年7月11日正午時点)
脆弱性公開からKEVカタログ掲載までの時系列まとめ
| 日付 | 経緯 |
| 2025年6月17日 | CitrixによるCVE-2025-5777の公開 |
| 2025年6月20日 | Reliaquestによる侵害事例の公開 |
| 2025年6月24日 | セキュリティ研究者によるCVE-2023-4966との類似性の指摘を含む注意喚起 |
| 2025年6月25日 | CitrixによるCVE-2025-6543とCVE-2025-6543の悪用兆候の公開 |
| 2025年6月26日 | CitrixによるCVE-2023-4966との類似性の指摘の否定・CVE-2025-5777の悪用の否定 |
| 2025年7月4日 | Watchtowrによる再現と原因分析、注意喚起を含む情報の公開 |
| 2025年7月7日 | Horizon3.aiによる、同時に修正・公開された脆弱性を含む分析、注意喚起を含む情報の公開 |
| 2025年7月9日 | Health-ISACが公開PoCの存在を根拠とする脅威情報の注意喚起を公開 |
| 2025年7月10日 | CISAがKEVカタログにCVE-2025-5777を追加 |
【参考情報】
Citrixからの情報
ブログ
セキュリティ各社・研究者による分析および侵害事例報告
Health-ISACの注意喚起(American Hospital Associationから配信されたもの)
BBSecでは
当社では様々なご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。
Security NEWS TOPに戻る
バックナンバー TOPに戻る
ウェビナー開催のお知らせ
「進化するランサムウェア攻撃-国内最新事例から学ぶ!被害を防ぐ実践ポイント10項目を解説-」
「急増するフィッシング攻撃の実態と対策〜企業を守る多層防御とは〜」
「Webサイトの脆弱性はこう狙われる!OWASP Top 10で読み解く攻撃と対策」
「企業サイトオーナー向け ユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-」
最新情報はこちら
