Citrix製品とGitの脆弱性が悪用される、米CISAがKEVカタログに追加（CVE-2024-8069、CVE-2024-8068、CVE-2025-48384）

佐々山 Tacos

2025.10.17

Citrix製品とGitの脆弱性が悪用される、米CISAがKEVカタログに追加（CVE-2024-8069、CVE-2024-8068、CVE-2025-48384）

CISA – August 25, 2025

米CISAは8月25日、悪用が確認済みの脆弱性（KEV）カタログを更新し、Citrix製品の脆弱性CVE-2024-8069、CVE-2024-8068およびGitの脆弱性CVE-2025-48384を新たに追加。9月15日までの対応を連邦政府機関に命じた。

CVE-2024-8069とCVE-2024-8068はいずれもCitrix Session Recordingに影響を与えるもので、前者は信頼されていないデータのデシリアライゼーションに関する脆弱性、後者は不適切な特権管理の脆弱性と説明されている。いずれも2024年11月12日に開示・修正されたもので、同じ日のうちにwatchTowrにより技術的詳細を記したブログ記事やPoCエクスプロイトコードも公開されている。watchTowrは、両脆弱性を利用した攻撃者は、HTTP経由で任意のホストから脆弱なMSMQサービスに到達できるようになるほか、NetworkServiceアカウントの権限で任意のコードを実行できるようになると説明した。

その後同月13日には、脅威モニタリングサービスのShadowserverがXでの投稿において、PoCをベースにしたCVE-2024-8069とCVE-2024-8068の悪用の試みが観測された旨を伝えた。また同月18日には、SANS Instituteの研究部長であるJohannes B. Ullrich博士が両脆弱性に対する悪用の試みが始まっていると報告。攻撃者はこれらの脆弱性を悪用して悪性ペイロードを実行しようとしていたものとみられ、そのC2サーバーは南アフリカのヨハネスブルクに位置している可能性があると指摘していた。

ただ、今回CISAがKEVカタログに追加した新規エントリには悪用の詳細は記されておらず、ランサムウェア攻撃で利用されているかどうかも不明だという。

一方で、同じく25日にKEVカタログに追加されたGitの脆弱性CVE-2025-48384は、設定ファイルにおけるキャリッジリターン文字の処理に一貫性がないことから生じるリンク解釈の問題に関する脆弱性。武器化されたリポジトリ上の「git clone –recursive」を使用するLinuxおよびmacOSに対して悪用された場合には、任意のファイル書き込みが可能になり、最終的にコード実行に繋がる恐れもあるとされる。

KEVカタログには、この脆弱性が、さまざまな製品に使用される一般的なオープンソースコンポーネントやサードパーティライブラリ、またプロトコルに影響を与えるものである点が注記された。同脆弱性に関しても、ランサムウェアキャンペーンで悪用されているかどうかは不明とのこと。