Citrix製品のゼロデイ脆弱性 リリース後も53％がパッチを適用せず：Cybersecurity Dive

研究者たちは、何千台ものCitrix NetScalerのデバイスが攻撃に対して脆弱なままであると警告している。

[David Jones，Cybersecurity Dive]

　ハッカーが「Citrix NetScaler Application Delivery Controller」（以下、NetScaler ADC）および「NetScaler Gateway」のゼロデイ脆弱（ぜいじゃく）性を悪用し、電力やガス、鉄道、空港などの重要インフラプロバイダーに侵入した事件を受け、連邦当局やセキュリティ研究者は各組織に対してネットワーク環境を保護するよう呼びかけている。

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）における2023年7月17日（現地時間、以下同）の週の発表によると（注1）、ハッカーは同年6月、Citrixの非本番環境のNetScaler ADCにWebシェルを設置後、重要インフラプロバイダーの「Active Directory」からデータを盗むことに成功した。さらにハッカーは組織のドメインコントローラーに移動しようとしたが、ネットワーク・セグメンテーションコントロールによりブロックされた。

NetScaler ADCのゼロデイ脆弱性についてMandiantが調査報告

　セキュリティ企業のMandiantの研究者は侵害時、NetScaler ADCに完全にパッチが適用されていたケースがどのくらいあるのか調査していると述べた（注2）。

　Mandiantの広報担当者は「最初の侵害の時点で、影響を受けたアプライアンスには最新のパッチがインストールされていた。Citrixはまだゼロデイパッチを公開していなかったため、アプライアンスはこの特定の攻撃に対して脆弱だった」と話している。

　Citrixについては2022年1月に、Vista Equity PartnersとEvergreen Coast Capitalの関連会社によって165億ドルで買収される契約が締結されていた（注3）。Citrix ADCとCitrix Gatewayは現在、Netscaler ADCとNetscaler Gatewayと呼ばれている。

　Mandiantによると、Netscaler ADCは主にIT分野で使用され、エンタープライズやクラウドデータセンターの重要な要素とされており、継続的な改善を実施し、アプリケーションの可用性および安全性、最適なパフォーマンスを発揮できる状態を確保する役割を果たしている。

　2023年7月21日に発表されたブログをMandiantが執筆している時点では、公開されているPoC（概念実証）は存在しなかった。Mandiantは直接の原因究明するための十分な情報を持っていないが、同侵害は、以前にも実行された中国に関連する脅威アクターの活動と一致しているとのことだ。

　Citrixは2023年7月18日にセキュリティアップデートをリリースし（注4）、影響を受ける全ての組織に対し、システムにパッチを当てるよう促した。

　セキュリティ企業のBishop Foxの研究者によると、インターネットに公開されている約6万1000台のアプライアンスが影響を受け、そのうちの約53％が修正されていない状態だという（注5）。

（注1）Threat Actors Exploiting Citrix CVE-2023-3519 to Implant Webshells（CISA）
（注2）Exploitation of Citrix Zero-Day by Possible Espionage Actors (CVE-2023-3519)（Mandiant）
（注3）Citrix to be Acquired by Affiliates of Vista Equity Partners and Evergreen Coast Capital for $16.5 Billion（Citrix）
（注4）Citrix ADC and Citrix Gateway Security Bulletin for CVE-2023-3519, CVE-2023-3466, CVE-2023-3467（Citrix）
（注5）Citrix ADC Gateway RCE: CVE-2023-3519 is Exploitable, and 53% of Servers Are Unpatched（Bishop Fox）

原文へのリンク