概要:ゼロデイ攻撃でCitrixとCiscoの脆弱性が標的に
高度な脅威アクターが、Citrix NetScaler ADCおよびGatewayの「Citrix Bleed 2」(CVE-2025-5777)と、Cisco Identity Service Engine(ISE)のCVE-2025-20337という二つの重大な脆弱性をゼロデイ攻撃で悪用し、カスタムマルウェアを展開していたことが明らかになりました。この事実は、Amazonの脅威インテリジェンスチームが「MadPot」ハニーポットデータを分析する中で発見したものです。これらの脆弱性は、公開およびパッチ提供前にすでに攻撃に利用されていました。
Citrix Bleed 2(CVE-2025-5777)の詳細
「Citrix Bleed 2」は、NetScaler ADCおよびGatewayにおける境界外メモリ読み取り(out-of-bounds memory read)の問題です。ベンダーは6月下旬に修正プログラムを公開しましたが、複数の第三者機関からの報告にもかかわらず、攻撃への悪用が確認されるまでには時間を要しました。しかし、7月初旬にはエクスプロイトコードが公開され、CISA(米サイバーセキュリティ・インフラセキュリティ庁)もこの脆弱性が悪用されていることを指摘しました。
Cisco ISEの深刻な脆弱性(CVE-2025-20337)
Cisco ISEの脆弱性(CVE-2025-20337)は、最大深刻度スコアが付けられた極めて危険な問題です。7月17日に公開された際、Ciscoは認証されていない攻撃者が悪意のあるファイルを保存したり、任意のコードを実行したり、脆弱なデバイス上でルート権限を取得する可能性があると警告しました。この警告からわずか5日後には、この脆弱性が活発に悪用されているとして、ベンダーは再度警告を発しました。7月28日には、研究者のBobby Gould氏がエクスプロイトチェーンを含む技術的な詳細を公開しています。
攻撃手法と脅威アクターの高度な技術
Amazonの報告によると、攻撃者はCVE-2025-20337を悪用してCisco ISEエンドポイントへの認証前管理者アクセスを獲得し、「IdentityAuditAction」と名付けられたカスタムウェブシェルを展開しました。このウェブシェルは、正規のISEコンポーネントを装い、HTTPリスナーとして登録されてすべてのリクエストを傍受。Javaリフレクションを使用してTomcatサーバーのスレッドにコードを注入していました。さらに、ステルス性を高めるために、非標準のBase64エンコーディングを用いたDES暗号化を使用し、特定のHTTPヘッダーの知識がなければアクセスできないように設計されており、フォレンジック痕跡を最小限に抑える工夫がされていました。
複数の未公開ゼロデイ脆弱性の悪用、Java/Tomcatの内部構造およびCisco ISEアーキテクチャに関する高度な知識は、非常に高いリソースを持つ高度な脅威アクターの関与を示唆しています。しかし、Amazonは特定の既知の脅威グループへの帰属はできませんでした。興味深いことに、標的は無差別であったとされており、これは通常、高度に標的を絞った作戦を行う脅威アクターの行動とは一致しない点です。
推奨される対策
企業や組織は、これらのゼロデイ攻撃からシステムを保護するために、CVE-2025-5777およびCVE-2025-20337に対する利用可能なセキュリティアップデートを速やかに適用することが強く推奨されます。また、ファイアウォールや多層防御を導入し、エッジネットワークデバイスへのアクセスを制限することで、攻撃のリスクを軽減することが重要です。