「Citrix NetScaler」の脆弱性を悪用するエクスプロイトキャンペーンが報告された。1900台以上にバックドアが仕込まれ、日本でも影響が確認されている。セキュリティパッチ適用後もリスクが残るため迅速な対応が求められる。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティ企業のFox-ITとオランダ脆弱(ぜいじゃく)性情報開示研究所(DIVD)は2023年8月15日(現地時間、以下同)、仮想アプライアンス製品「Citrix NetScaler」に対する大規模なエクスプロイトキャンペーンを発見したと報じた。
発表によると、サイバー攻撃者はCitrix NetScalerの脆弱性(CVE-2023-3519)を突いてWebシェルを配置し、永続的なアクセスを確立している。一度Webシェルが配置されると、パッチ適用や再起動をしてもWebシェルは永続的に動作して任意のコマンドが実行可能な状態が維持されるため注意が必要だ。
Fox-ITによると、すでに1900以上のCitrix NetScalerにバックドアが仕込まれていることが判明しており、日本でも存在が確認されている。該当製品を使用している場合、推奨されている対応を迅速に取ることが望まれる。
今回報じられた脆弱性に関する主なポイントは以下の通りだ。
今回の脆弱性はセキュリティパッチを適用しても、適用以前に仕込まれたWebシェルが依然として存在し続ける点に注意が必要だ。Citrix NetScalerを最新版にアップデート済みだとしても、すでにWebシェルが仕込まれていた場合はサイバー攻撃者はアクセス権を得たままになっている。情報が開示される前の時点で同脆弱性の悪用が確認されており、すでに感染してしまっているサーバが多く存在している。
Fox-ITは該当製品を使っている場合、セキュリティアップデートを適用したかどうかにかかわらずWebシェルが設置されているかどうかを確認することを推奨している。バックドアが設置された状態は極めてリスクが高い。迅速に推奨されている侵害兆候のチェックを実施してほしい。
Copyright © ITmedia, Inc. All Rights Reserved.