1900台超のCitrix NetScalerにバックドアが仕込まれている、日本でも確認

「Citrix NetScaler」の脆弱性を悪用するエクスプロイトキャンペーンが報告された。1900台以上にバックドアが仕込まれ、日本でも影響が確認されている。セキュリティパッチ適用後もリスクが残るため迅速な対応が求められる。

[後藤大地，有限会社オングス]

　セキュリティ企業のFox-ITとオランダ脆弱（ぜいじゃく）性情報開示研究所（DIVD）は2023年8月15日（現地時間、以下同）、仮想アプライアンス製品「Citrix NetScaler」に対する大規模なエクスプロイトキャンペーンを発見したと報じた。

　発表によると、サイバー攻撃者はCitrix NetScalerの脆弱性（CVE-2023-3519）を突いてWebシェルを配置し、永続的なアクセスを確立している。一度Webシェルが配置されると、パッチ適用や再起動をしてもWebシェルは永続的に動作して任意のコマンドが実行可能な状態が維持されるため注意が必要だ。

Fox-ITとDIVDはCitrix NetScalerに対する大規模なエクスプロイトキャンペーンを発見した（出典：Fox-ITのWebサイト）

パッチ適用後もバックドアは残り続ける点に注意

　Fox-ITによると、すでに1900以上のCitrix NetScalerにバックドアが仕込まれていることが判明しており、日本でも存在が確認されている。該当製品を使用している場合、推奨されている対応を迅速に取ることが望まれる。

　今回報じられた脆弱性に関する主なポイントは以下の通りだ。

• 2023年7月18日にリモートコード実行（RCE）を含む複数の脆弱性がCitrix NetScalerに見つかった。サイバー攻撃者は特にCVE-2023-3519として特定されている脆弱性を利用してNetScalerにWebシェルを設置して永続的なアクセスを確立している
• 同エクスプロイトキャンペーンが確認された時点で3万1127台のCitrix NetScalerにCVE-2023-3519の脆弱性が存在していた
• 2023年8月14日の時点で1828台のCitrix NetScalerにバックドアが設置されたままになっている
• バックドアが設置されたCitrix NetScalerのうち1248台にはすでにセキュリティパッチが適用されている

　今回の脆弱性はセキュリティパッチを適用しても、適用以前に仕込まれたWebシェルが依然として存在し続ける点に注意が必要だ。Citrix NetScalerを最新版にアップデート済みだとしても、すでにWebシェルが仕込まれていた場合はサイバー攻撃者はアクセス権を得たままになっている。情報が開示される前の時点で同脆弱性の悪用が確認されており、すでに感染してしまっているサーバが多く存在している。

　Fox-ITは該当製品を使っている場合、セキュリティアップデートを適用したかどうかにかかわらずWebシェルが設置されているかどうかを確認することを推奨している。バックドアが設置された状態は極めてリスクが高い。迅速に推奨されている侵害兆候のチェックを実施してほしい。