研究者たちは、何千台ものCitrix NetScalerのデバイスが攻撃に対して脆弱なままであると警告している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
ハッカーが「Citrix NetScaler Application Delivery Controller」(以下、NetScaler ADC)および「NetScaler Gateway」のゼロデイ脆弱(ぜいじゃく)性を悪用し、電力やガス、鉄道、空港などの重要インフラプロバイダーに侵入した事件を受け、連邦当局やセキュリティ研究者は各組織に対してネットワーク環境を保護するよう呼びかけている。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)における2023年7月17日(現地時間、以下同)の週の発表によると(注1)、ハッカーは同年6月、Citrixの非本番環境のNetScaler ADCにWebシェルを設置後、重要インフラプロバイダーの「Active Directory」からデータを盗むことに成功した。さらにハッカーは組織のドメインコントローラーに移動しようとしたが、ネットワーク・セグメンテーションコントロールによりブロックされた。
セキュリティ企業のMandiantの研究者は侵害時、NetScaler ADCに完全にパッチが適用されていたケースがどのくらいあるのか調査していると述べた(注2)。
Mandiantの広報担当者は「最初の侵害の時点で、影響を受けたアプライアンスには最新のパッチがインストールされていた。Citrixはまだゼロデイパッチを公開していなかったため、アプライアンスはこの特定の攻撃に対して脆弱だった」と話している。
Citrixについては2022年1月に、Vista Equity PartnersとEvergreen Coast Capitalの関連会社によって165億ドルで買収される契約が締結されていた(注3)。Citrix ADCとCitrix Gatewayは現在、Netscaler ADCとNetscaler Gatewayと呼ばれている。
Mandiantによると、Netscaler ADCは主にIT分野で使用され、エンタープライズやクラウドデータセンターの重要な要素とされており、継続的な改善を実施し、アプリケーションの可用性および安全性、最適なパフォーマンスを発揮できる状態を確保する役割を果たしている。
2023年7月21日に発表されたブログをMandiantが執筆している時点では、公開されているPoC(概念実証)は存在しなかった。Mandiantは直接の原因究明するための十分な情報を持っていないが、同侵害は、以前にも実行された中国に関連する脅威アクターの活動と一致しているとのことだ。
Citrixは2023年7月18日にセキュリティアップデートをリリースし(注4)、影響を受ける全ての組織に対し、システムにパッチを当てるよう促した。
セキュリティ企業のBishop Foxの研究者によると、インターネットに公開されている約6万1000台のアプライアンスが影響を受け、そのうちの約53%が修正されていない状態だという(注5)。
(注1)Threat Actors Exploiting Citrix CVE-2023-3519 to Implant Webshells(CISA)
(注2)Exploitation of Citrix Zero-Day by Possible Espionage Actors (CVE-2023-3519)(Mandiant)
(注3)Citrix to be Acquired by Affiliates of Vista Equity Partners and Evergreen Coast Capital for $16.5 Billion(Citrix)
(注4)Citrix ADC and Citrix Gateway Security Bulletin for CVE-2023-3519, CVE-2023-3466, CVE-2023-3467(Citrix)
(注5)Citrix ADC Gateway RCE: CVE-2023-3519 is Exploitable, and 53% of Servers Are Unpatched(Bishop Fox)
© Industry Dive. All rights reserved.