パッチ適用しても効果なし？ Citrix NetScalerの脆弱性についてMandiantが指摘：Cybersecurity Dive

Mandiantの研究者は、Citrix NetScalerの脆弱性について、パッチを適用した組織が依然としてハッキングの被害を受けていると指摘した。一体どういうことだろうか。

[David Jones，Cybersecurity Dive]

　Mandiantの研究者は2023年10月17日（現地時間、以下同）、「仮想アプライアンス製品『Citrix NetScaler』の重大な脆弱（ぜいじゃく）性に対するパッチは、特定の攻撃を防げず、サイバー攻撃者がこの欠陥を悪用し続けている」と緊急の警告を発表した。

Citrix NetScalerの脆弱性、パッチ適用しても特定の攻撃は防げないと判明

　Citrixは2023年10月10日、「Netscaler ADC」および「Netscaler Gateway」に存在するCVE-2023-4966と呼ばれる脆弱性に対処するためのパッチを発表した（注1）。この脆弱性は遅くとも2023年8月から積極的に悪用されていた。

　Citrixの関係者は「この脆弱性が2023年10月10日にパッチとともに公表された際、当社の顧客や業界パートナーから悪用を観察した旨の情報はなかった。この脆弱性は社内で特定されたものだ」と述べている。

　Mandiantは、セキュリティアップデートのリリース後にシステムにパッチを適用した組織が依然としてハッキングの被害を受けていることを発見した。MandiantのCTO（最高技術責任者）であるチャールズ・カーマカル氏は現在、全てのアクティブなセッションを終了するよう組織に促している。

　カーマカル氏は「LinkedIn」で「これらの認証セッションは、CVE-2023-4966の影響を緩和するためのアップデートが導入された後も機能し続けている。つまりパッチ適用後でも、セッションが終了するまで、サイバー攻撃者は盗んだセッションデータを使って認証を受けられる可能性がある」と述べている（注2）。

　また、カーマカル氏は「Cybersecurity Dive」の取材で次のように語っている。

　「Mandiantはパッチがそれ以外の部分では正常に機能すると信じている。ただし、サイバー攻撃者が過去に脆弱性を悪用し、デバイスからセッション情報を取得していた場合に備えて、セッションを終了する追加の手順を実行すべきである」

　Mandiantの関係者によると、この脆弱性の悪用に成功すると（注3）、ハッカーは既存の認証済みセッションを乗っ取り、多要素認証を回避できるという。Mandiantは、パッチの適用前にセッションデータが盗まれ、後からハッカーに利用されるケースを確認している。

　同社によると、既に専門的なサービスを提供する企業やテクノロジーファーム、政府機関で悪用が行われている。

　Mandiantは、脅威の主体が誰であるかは把握していないが、「ハッカーはサイバースパイに集中しており、最終的には金銭的な動機を持つハッカーが行動に参加するだろう」と述べた。

　コメントを求められた米国サイバーセキュリティ・社会基盤安全保障庁（CISA）の関係者は「Mandiantのガイダンスを参照するように」と述べた。

（注1）NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967（Citrix）
（注2）Charles Carmakal（LinkedIn）
（注3）Remediation for Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966)（MANDIANT）

原文へのリンク