CitrixBleed 2のエクスプロイトが蔓延、セキュリティ研究者は警戒を呼びかけ（CVE-2025-5777）

7月8日：サイバーセキュリティ関連ニュース

CitrixBleed 2のエクスプロイトが蔓延、セキュリティ研究者は警戒を呼びかけ（CVE-2025-5777）

The Register – Mon 7 Jul 2025

Citrix NetScaler ADCおよびNetScaler Gatewayの重大なバグ「CitrixBleed 2」のエクスプロイトが複数出回る中、いまだに「相当数」のユーザーがパッチを適用していないとしてセキュリティアナリストが警戒を呼びかけている。

この脆弱性はCVE-2025-5777（CVSS 9.3）として追跡されており、リモートの認証されていない攻撃者にゲートウェイ（VPN仮想サーバー、ICAプロキシ、CVPN、RDPプロキシなど）またはAAA仮想サーバーとして構成されたNetScalerデバイスのメモリ内にあるセッショントークンなどの機微情報を読み取れられる恐れがあるもので、多要素認証（MFA）の回避、ユーザーセッションの乗っ取り、重要なシステムへのアクセスを許す可能性がある。

これらの特徴から、このバグは「CitrixBleed」（CVE-2023-4966）と呼ばれる2年前に発見された欠陥と非常によく似ているとされるが、Citrixは両脆弱性に関連性はないと主張しているようだ。同社は先月、CVE-2025-5777のセキュリティアドバイザリとパッチをリリースしたものの、実際の攻撃における悪用事例が複数報告され、PoCエクスプロイトが公開されているにもかかわらず、このバグと攻撃の範囲に関するThe Registerの問い合わせには回答していないという。

ウクライナ戦争で民生用ドローンの軍事転用に使用されたロシア製ファームウェア、サイバー攻撃受けインフラに障害が発生

The Record – July 8th, 2025

民生用ドローンの軍事転用を可能にするカスタムファームウェア「1001」を開発するロシア企業がサイバー攻撃を受け、同ソフトの配布システムに障害が発生したという。

Telegramチャンネル「Russian Hackers – To the Front」に投稿された声明によると、正体不明のハッカーが1001の配信サーバーに侵入し、オペレーターの端末に虚偽のメッセージを表示した後、システムを無効化したようだ。開発企業側はファームウェア自体が侵害されたのではなく、バックドアや有害なコードのリスクも「極めて低い」と説明しているが、ドローンオペレーターには予防措置として端末の接続を切断するよう勧告した。

このファームウェアは中国製ドローン「DJI」の特定モデルをウクライナへの攻撃に利用するために使われており、一般ダウンロードはされておらず、「ターミナル」と呼ばれる事前設定されたノートパソコンを備えたドローンサービスセンターのネットワークで配布され、リモートサーバーからアップデートを受信する。ロシアの独立系サイバーセキュリティ専門家Oleg Shakirov氏は、攻撃者がこのサーバーを標的にした可能性が高いとみている。

開発企業によると、今年3月の時点で1001にアップデートされたドローンは約20万台。同ファームウェアはメーカーが課す飛行制限を解除し、GPSスプーフィングへの耐性を向上させ、大容量バッテリーの使用を可能にするなど軍事任務への適合性を高めているという。

この攻撃の影響がどこまで及ぶのかは現時点で不明。今回のケースは、ロシアの軍事技術開発者がサイバー攻撃の事実を公に認めた稀な事例の1つとされている。

【無料配布中！】インテリジェンス要件定義ガイド

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件（PIR）を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。

＜ガイドブックの主なトピック＞

本ガイドブックでは、優先的インテリジェンス要件（PIR）の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

• 脅威プロファイルの確立
• ステークホルダーの特定・分析
• ユースケースの確立
• 要件の定義と管理
• データの収集と処理
• 分析と生産
• 報告
• フィードバック
• 実効性の評価