エグゼクティブサマリー
2025年8月26日、CitrixはNetScaler ADCおよびNetScaler Gatewayに影響する重大なメモリオーバーフロー脆弱性CVE-2025-7775を公表しました。公表は不安な認定を伴いました:脆弱性はすでにゼロデイとして実環境で悪用されていました。攻撃者は防御側がパッチを適用する機会を得る前に欠陥を発見・兵器化していたのです。
CVE-2025-7775はCVSSスコア9.2(重大)を有し、未認証リモートコード実行を可能にします。攻撃にはユーザーインタラクションも事前の認証も不要です ― ネットワーク到達可能な脆弱アプライアンスがあれば悪用には十分です。侵害後の分析でWebシェル展開が明らかになっており、攻撃者が侵害された組織に永続的なバックドアアクセスを確立していることを示しています。
タイミングが緊急性を増幅させます。CVE-2025-7775は、6月のCVE-2025-5777(CitrixBleed 2)と7月のCVE-2025-6543に続き、2025年に公表された3つ目の重大なNetScaler脆弱性です。NetScalerインフラを運用する組織は、即時対応を要する重大脆弱性の継続的なキャンペーンに直面しています。CISAは公表と同日にCVE-2025-7775をKnown Exploited Vulnerabilitiesカタログに追加し、連邦機関に48時間以内のパッチ適用を義務付けました。
脆弱性の概要
技術分析
CVE-2025-7775はNetScalerリクエスト処理ロジックにおけるメモリオーバーフロー脆弱性です。脆弱なアプライアンスが特別に細工されたリクエストを受け取ると、メモリオーバーフローが隣接メモリ領域を破壊し、攻撃者が実行フローを乗っ取れるようにします。結果として、NetScalerプロセスの権限 ― 通常はrootまたは同等の管理者アクセス ― で任意のコード実行が可能となります。
本脆弱性が特に危険なのは、認証を要しないためです。有効な資格情報やセッショントークンを必要とする脆弱性と異なり、CVE-2025-7775はネットワーク経由で脆弱なサービスに到達できるあらゆる攻撃者によって悪用可能です。通常インターネットに露出されるGatewayおよびAAA構成と組み合わせると、これはインターネットからアプライアンス上のコード実行への直接の経路を生み出します。
CitrixはCVSSベクター内で攻撃の複雑度を「高」と分類しており、悪用には単純なリクエスト細工を超える特定の条件や手法が必要であることを示唆しています。しかし、確認されたゼロデイ悪用は、洗練された脅威アクターがすでにこれらの障壁を克服していることを実証しています。公開エクスプロイトコードは公表時には利用できませんでしたが、セキュリティ研究者は概念実証コードが流通すれば広範な悪用が起こると予想しています。
影響を受ける構成
| 構成 | 仮想サーバー種別 | 脆弱な条件 | リスクレベル |
|---|---|---|---|
| Gateway | VPN、ICA Proxy、CVPN、RDP Proxy | Gateway仮想サーバーとして構成 | 重大 |
| AAA | 認証仮想サーバー | AAA仮想サーバーとして構成 | 重大 |
| ロードバランサー(IPv6) | HTTP、SSL、HTTP_QUIC | IPv6サービス/サービスグループとバインド | 重大 |
| ロードバランサー(DBS) | データベースサービス | DBS IPv6構成が有効 | 重大 |
| コンテンツルーティング | CR仮想サーバー | HDXタイプが構成済み | 高 |
影響を受けるバージョンとパッチ適用済みバージョン
| 製品ブランチ | 脆弱なバージョン | 修正バージョン | ステータス |
|---|---|---|---|
| NetScaler ADC/Gateway 14.1 | < 14.1-47.48 | 14.1-47.48+ | パッチ利用可能 |
| NetScaler ADC/Gateway 13.1 | < 13.1-59.22 | 13.1-59.22+ | パッチ利用可能 |
| NetScaler 13.1-FIPS | < 13.1-37.241 | 13.1-37.241+ | パッチ利用可能 |
| NetScaler NDcPP | < 13.1-37.241 | 13.1-37.241+ | パッチ利用可能 |
| NetScaler 12.1-FIPS/NDcPP | < 12.1-55.330 | 12.1-55.330+ | パッチ利用可能 |
| NetScaler 12.1 | 全バージョン | — | EoL ― 移行が必要 |
| NetScaler 13.0 | 全バージョン | — | EoL ― 移行が必要 |
悪用タイムライン
観測された攻撃チェーン
CVE-2025-7775の悪用を分析したセキュリティ研究者は、一貫した攻撃パターンを文書化しています。このチェーンを理解することで、防御側は侵害指標を識別し、適切な検知を実装できます。
偵察とスキャン
攻撃者はインターネット向けインフラをスキャンしてNetScalerアプライアンスを特定します。バージョンフィンガープリンティングが脆弱性ステータスを判定します。公表時には59,000台超のインスタンスが公開アクセス可能でした。
悪用
特別に細工されたリクエストがメモリオーバーフローをトリガし、リモートコード実行を達成します。認証は不要です ― 脆弱なサービスへのネットワークアクセスがあれば十分です。
Webシェル展開
攻撃者は永続的なバックドアアクセスを確立するためWebシェルを展開します。これらのWebシェルはアプライアンスの再起動を生き残り、オンデマンドのコマンド実行能力を提供します。
永続化と水平移動
永続的アクセスが確立されると、攻撃者は資格情報を収集し、内部ネットワークをマッピングし、追加システムへ水平移動します。NetScalerのネットワークエッジでの位置は内部トラフィックへの可視性を提供します。
データ流出またはさらなる目的
最終目的は脅威アクターによって異なります:データ盗難、ランサムウェア展開、または長期スパイ活動アクセス。初期のNetScaler侵害がより広範なキャンペーンの侵入点となります。
セキュリティ研究者は、CVE-2025-7775がCVE-2025-8424(NetScaler管理インターフェースの不適切なアクセス制御)と連鎖して、より深いシステム制御を獲得し得ると警告しています。CVE-2025-7775は初期のRCEアクセスを提供する一方、CVE-2025-8424は攻撃者に管理機能への認可されていないアクセスを与え、構成永続性に影響を及ぼし修復をより複雑にする可能性があります。組織は2025年8月の3つの脆弱性すべてを同時にパッチすべきです。
検知とフォレンジック分析
組織は潜在的な侵害を特定するため、検知能力を実装しフォレンジック分析を実施すべきです:
Webシェル検知
すべてのNetScalerアプライアンスでCitrixのWebシェル検知スクリプトを実行します。ファイルシステムスナップショットを分析し、特にPHPやPerlスクリプトなど、Webアクセス可能ディレクトリ内の予期しないファイルを探します。
ログ分析
異常なリクエストパターン、認証失敗、管理機能へのアクセスについてNetScalerログを確認します。スキャンや悪用試行を示すアーティファクトを探します。
ネットワークトラフィック分析
NetScalerアプライアンスからの異常な送信接続、特に既知の悪意あるインフラや異常な地理的目的地への接続を監視します。
設定レビュー
認可されていない設定変更、新規の管理者アカウント、または永続化メカニズムを示し得る変更された認証設定を確認します。
メモリフォレンジック
侵害が疑われるアプライアンスに対し、注入されたコード、資格情報収集、その他のランタイムアーティファクトを特定するためメモリ分析を実施します。
SIEM統合
CVE-2025-7775の悪用パターンに対する検知ルールを展開します。SOC Primeその他のベンダーは、MITRE ATT&CKに沿ったCTIエンリッチド検知コンテンツを提供します。
修復ステップ
CitrixはCVE-2025-7775に対する回避策や緩和策がないことを確認しています。パッチ適用が唯一の修復経路です。組織は直ちに以下のステップを行うべきです:
すべてのNetScalerインスタンスを特定
第三者管理を含む環境内のすべてのNetScaler ADCおよびGatewayアプライアンスを棚卸しします。影響を受けるバージョンリストに対しバージョン番号を検証します。
パッチを直ちに適用
修正バージョンへアップグレード:14.1-47.48+、13.1-59.22+、13.1-FIPS/NDcPP 13.1-37.241+、12.1-FIPS/NDcPP 12.1-55.330+。EoLバージョン(12.1、13.0)はサポートされるリリースへの移行が必要です。
パッチ適用後のフォレンジックを実施
パッチ適用後でも、アプライアンスはすでに侵害されている可能性があります。Webシェル検知を実行し、悪用指標についてログを確認し、認可されていない変更について設定を分析します。
資格情報をリセット
侵害が疑われる場合、アプライアンスを通過した可能性のあるすべての資格情報をリセットします:VPNユーザー、管理者アカウント、およびNetScalerが可視可能な資格情報。
ネットワークセグメンテーションを確認
NetScalerアプライアンスが機密性の高い内部リソースに直接アクセスできないようにします。エッジアプライアンスが侵害された場合の影響範囲を制限するためネットワークセグメンテーションを実装します。
継続的監視を実装
CVE-2025-7775および関連脆弱性の検知ルールを展開します。侵害指標を監視し、疑わしいNetScaler活動のアラートを確立します。
セキュリティ研究者Kevin Beaumontは、インターネット向けNetScalerデバイスの大半が未パッチのままであり、公表後数日間でパッチ採用率はわずか約16%にとどまっていると報告しました。これにより数万台のアプライアンスが悪用に対して脆弱なまま残されています。組織は直ちにパッチ状況を検証すべきです ― 検証なしにパッチ適用済みと想定することは、確認されたゼロデイ悪用を踏まえれば危険です。
ゼロデイに対するTR7 WAAP保護
CVE-2025-7775は特にNetScalerインフラを標的としますが、TR7のWAAPプラットフォームは類似の脆弱性悪用パターンから守る多層防御機能を提供します:
メモリ破壊保護
リクエスト検証と入力サニタイゼーションにより、不正なリクエストが保護されるアプリケーションでバッファオーバーフローやメモリ破壊をトリガするのを防ぎます。
仮想パッチ
ベンダーパッチが利用可能になる前、またはパッチ適用に長時間のメンテナンスウィンドウが必要な場合に、既知のCVEに対する保護ルールを展開します。
悪用トラフィック検知
行動分析が、既知のシグネチャを持たないゼロデイ脆弱性に対しても、リクエストパターンに基づいて悪用試行を識別します。
Webシェル防止
ファイルアップロード制御と実行制限により、初期の悪用が成功した場合でも攻撃者がWebシェルを展開するのを防ぎます。
脅威インテリジェンス統合
リアルタイム脅威フィードが既知の悪意あるIPと攻撃パターンを識別し、ネットワークエッジで悪用試行を遮断します。
迅速なルール展開
CVE公表から数時間以内に新たな保護ルールを展開し、パッチサイクル完了までの即時防御を提供します。
よくある質問
構成とバージョンを確認してください。NetScaler ADC/Gateway 13.1、14.1、13.1-FIPS、またはNDcPPバージョンがパッチ適用済みリリース未満であり、かつGateway(VPN、ICA Proxy、CVPN、RDP Proxy)、AAA仮想サーバー、IPv6サービスを持つロードバランサー、またはHDXタイプのCR仮想サーバーとして構成されている場合に脆弱です。露出を検証するため、Citrix速報CTX694938の構成チェックコマンドを実行してください。
これらのバージョンはEoLでありセキュリティパッチを受けません。直ちにサポートされるバージョン(13.1または14.1)に移行する必要があります。これらのバージョンを安全にする回避策はありません ― アップグレードが必須です。
CitrixのWebシェル検知スクリプトを実行し、異常パターンについてアクセスログを確認し、認可されていない設定変更や新規の管理者アカウントを確認し、予期しないファイルについてファイルシステムを分析します。侵害指標が見つかった場合、アプライアンスを隔離し、フォレンジック証拠を保全し、インシデント対応に着手してください。
パッチ適用は将来の悪用を防ぎますが、既存の侵害を除去しません。アプライアンスがパッチ適用前に露出していた場合、Webシェルや永続化メカニズムについてフォレンジック分析を実施してください。アプライアンスを通過した資格情報をリセットしてください。侵害が確認された場合、既知の正常な状態からの再イメージ化を検討してください。
NetScalerはエッジセキュリティアプライアンスとしての位置から、高価値の標的となります。C/C++コードベースのメモリ安全性脆弱性は依然として一般的で、Gateway/VPN機能の複雑さが大きな攻撃対象領域を生み出します。2025年の脆弱性パターン(CVE-2025-5777、CVE-2025-6543、CVE-2025-7775)は、研究者や攻撃者がこのコードベースを活発に監査していることを示唆します。
即時のパッチ適用が不可能な場合、信頼ネットワークのみにネットワークアクセスを制限することで限定的なリスク削減が可能です。ただし、これはインターネット向けVPNやGateway展開では実用的でないことがあります。Citrixは有効な緩和策がないと述べています ― パッチ適用が唯一の完全な修復策です。
結論
CVE-2025-7775は3か月以内で3つ目の重大なNetScaler脆弱性を意味し、Citrixインフラに依存する組織にとって懸念すべきパターンを確立しました。公表時のゼロデイ悪用ステータスは攻撃者に先行を与え、公表後のパッチ採用率が16%との報告とあいまって、多くの組織が露出したままとなっています。
未認証RCE、確認されたWebシェル展開、典型的なNetScaler展開のネットワークエッジでの位置の組み合わせは、深刻なリスクを生み出します。侵害されたアプライアンスは、攻撃者に内部ネットワークへの永続的アクセス、資格情報への可視性、水平移動のための起点を提供します。損害の可能性はNetScaler自体をはるかに超えて広がります。
セキュリティチームにとって、メッセージは明確です:すべてのNetScalerインスタンスを特定し、直ちにパッチを適用し、パッチ適用時期に関わらずフォレンジック分析を実施してください。2025年8月26日以前にアプライアンスがインターネット向けであった場合、侵害を想定してください。ゼロデイのウィンドウは ― その期間がどれだけ続いたかに関わらず ― 洗練された脅威アクターに初期アクセスのための十分な機会を提供しました。インシデント対応はそれに応じて進めてください。
参考文献と情報源
CVE-2025-7775、CVE-2025-7776、CVE-2025-8424に対するCitrix公式の公表。影響を受けるバージョン、修正リリース、構成チェックガイダンスを含む。https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938
CVE-2025-7775は2025年8月26日に48時間の連邦機関修復期限とともにKEVに追加。https://www.cisa.gov/known-exploited-vulnerabilities-catalog
CVE-2025-7775悪用、影響を受ける構成、修復ガイダンスの技術分析。https://www.rapid7.com/blog/post/etr-cve-2025-7775-critical-netscaler-vulnerability-exploited-in-the-wild/
CVE-2025-7775の露出分析と脅威ランドスケープの文脈。https://socradar.io/cve-2025-7775-citrix-zero-day-netscaler-devices/
ゼロデイからインフラを守る
TR7のWAAPプラットフォームは、既知CVEへの仮想パッチとゼロデイ攻撃への行動分析を含む、脆弱性悪用に対する多層防御を提供します。次の重大な公表を待たないでください。
WAAP保護を見る