Citrix、SAP GUI、およびトークン盗難：最近の脆弱性への深い潜水

Citrix NetscalerとSAP GUIの重大な脆弱性を調べ、トークンの盗難とデータ露出のリスクを強調し、重要な緩和戦略を提供します。

The cybersecurity landscape is ever-evolving, and recent disclosures concerning Citrix and SAP GUI highlight the persistent threats organizations face. With vulnerabilities leading to potential token theft and sensitive data exposure, understanding these issues is crucial. Let's delve into the specifics.

サイバーセキュリティの状況は絶えず進化しており、CitrixとSAP GUIに関する最近の開示は、組織が直面する永続的な脅威を強調しています。脆弱性がトークンの盗難の潜在的な盗難や敏感なデータへの露出につながるため、これらの問題を理解することが重要です。詳細を掘り下げましょう。

Citrix Bleed 2: A New Wave of Token Theft

Citrix Bleed 2：トークン盗難の新しい波

A critical-rated security flaw, CVE-2025-5777, in NetScaler ADC and Gateway products (formerly Citrix ADC and Gateway) has emerged, threatening unauthorized access via token theft. Dubbed 'Citrix Bleed 2' due to its similarities to the infamous CVE-2023-4966, this vulnerability stems from insufficient input validation. Attackers can exploit this flaw to grab valid session tokens from memory through malformed requests, effectively bypassing authentication. This is particularly concerning when NetScaler is configured as a Gateway or AAA virtual server.

Netscaler ADCおよびGateway製品（以前のCitrix ADCおよびGateway）におけるCVE-2025-5777 CVE-2025-5777が登場し、トークン盗難による不正アクセスを脅かしています。悪名高いCVE-2023-4966と類似しているため、「Citrix Bleed 2」と呼ばれ、この脆弱性は入力検証が不十分であることに起因します。攻撃者は、この欠陥を悪用して、メモリから奇形の要求を介して有効なセッショントークンをつかみ、認証を効果的にバイパスできます。これは、NetscalerがゲートウェイまたはAAA仮想サーバーとして構成されている場合に特に懸念されます。

The urgency is amplified by the fact that while there's no confirmed weaponization yet, experts believe it possesses all the hallmarks of a high-interest target for malicious actors. The initial limitations associated with the vulnerability have also been removed, suggesting a potentially broader impact than initially anticipated.

緊急性は、まだ確認された兵器化はありませんが、専門家は悪意のある俳優のための高利益ターゲットのすべての特徴を持っていると信じているという事実によって増幅されます。脆弱性に関連する初期の制限も削除されており、最初に予想されたよりも潜在的に広い影響を示唆しています。

Versions at Risk and Mitigation

リスクと緩和のバージョン

Several NetScaler ADC and Gateway versions are affected, including 14.1 before 14.1-43.56, 13.1 before 13.1-58.32, and various FIPS-compliant versions. Alarmingly, versions 12.1 and 13.0, now End of Life (EOL), remain vulnerable without available patches. Organizations using Secure Private Access on-premises or hybrid deployments with NetScaler instances are urged to upgrade immediately. Post-upgrade, terminating all active ICA and PCoIP sessions is crucial.

14.1-43.56以前の14.1、13.1-58.32の13.1、およびさまざまなFIPSに準拠したバージョンを含む、いくつかのNetscaler ADCおよびゲートウェイバージョンが影響を受けます。驚くべきことに、現在の寿命（EOL）のバージョン12.1と13.0は、利用可能なパッチなしで脆弱なままです。 Secure Private Access OnpremiessまたはNetscalerインスタンスを使用したハイブリッド展開を使用する組織は、すぐにアップグレードするように促されます。アップグレード後、すべてのアクティブなICAおよびPCOIPセッションを終了することが重要です。

SAP GUI's Input History: A Data Exposure Nightmare

SAP GUIの入力履歴：データ露出の悪夢

On another front, vulnerabilities CVE-2025-0055 and CVE-2025-0056 in SAP GUI for Windows and Java expose sensitive information through insecure storage of input history. The SAP GUI input history feature, designed for user convenience, stores previously entered values locally. However, the research discovered that this history is stored insecurely, both in the Java and Windows versions. This can include usernames, national IDs, social security numbers (SSNs), bank account numbers, and internal SAP table names.

別の面では、WindowsのSAP GUIの脆弱性CVE-2025-0055およびCVE-2025-0056とJavaは、入力履歴の不安定な保存を通じて機密情報を公開します。ユーザーの利便性のために設計されたSAP GUI入力履歴機能は、以前に地元で値を入力していました。しかし、この調査では、この歴史がJavaバージョンとWindowsバージョンの両方に不安に保存されていることがわかりました。これには、ユーザー名、全国ID、社会保障番号（SSN）、銀行口座番号、および内部SAPテーブル名が含まれます。

The Windows version employs a weak XOR-based encryption scheme easily decoded, while the Java version stores entries unencrypted. An attacker with administrative privileges or access to the victim's user directory can access this data, potentially leading to severe confidentiality breaches. Exfiltration through HID injection attacks or phishing becomes a real threat.

Windowsバージョンは、XORベースの弱い暗号化スキームを簡単に解読し、Javaバージョンは暗号化されていないエントリを保存します。管理特権または被害者のユーザーディレクトリへのアクセスを備えた攻撃者は、このデータにアクセスし、潜在的に深刻な機密性侵害につながる可能性があります。 HID注入攻撃またはフィッシングによる剥離は、本当の脅威になります。

Securing Your SAP GUI

SAP GUIを保護します

To mitigate these risks, disabling the input history functionality and deleting existing database or serialized object files from the designated directories is strongly recommended.

これらのリスクを軽減し、入力履歴機能を無効にし、指定されたディレクトリから既存のデータベースまたはシリアル化されたオブジェクトファイルを削除することを強くお勧めします。

Putting It All Together: A Call to Action

すべてをまとめる：行動への呼びかけ

These vulnerabilities in Citrix and SAP GUI underscore the need for proactive security measures. Regularly updating systems, promptly applying patches, and implementing recommended mitigations are essential steps in safeguarding against potential exploits.

CitrixおよびSAP GUIのこれらの脆弱性は、積極的なセキュリティ対策の必要性を強調しています。システムを定期的に更新し、パッチを迅速に適用し、推奨される緩和を実装することは、潜在的なエクスプロイトに対する保護に不可欠な手順です。

It's a jungle out there in cybersecurity, isn't it? But with vigilance and a proactive approach, you can keep those digital predators at bay. Stay safe, stay updated, and keep those patches rolling!

サイバーセキュリティのジャングルですよね？しかし、警戒と積極的なアプローチにより、それらのデジタル捕食者を寄せ付けないようにすることができます。安全を保ち、最新の状態を保ち、それらのパッチを転がしてください！