Citrix NetScalerの脆弱性を悪用した攻撃で、ボーイングの部品情報が漏えい:Cybersecurity Dive
ランサムウェアグループLockBit 3.0の関係者は、CitrixBleedと呼ばれる脆弱性を悪用している。連邦当局は約300の組織に対し、攻撃を受ける脆弱性があると警告している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と米国連邦調査局(FBI)は2023年11月21日(現地時間、以下同)に(注1)、国家や犯罪グループが「Citrix Netscaler ADC」と「Netscaler Gateway」の重大な脆弱(ぜいじゃく)性を悪用して攻撃を仕掛けていると警告した。
ランサムウェアグループ「LockBit 3.0」の関係者は、研究者によって「CitrixBleed」と名付けられた脆弱性を悪用して、Boeingの部品と配布ユニットにアクセスして外部にデータを持ち出した。連邦当局によると、これはランサムウェア攻撃の一部として実行されたようだ。
CISAでサイバーセキュリティを担当するエグゼクティブ・アシスタントディレクターのエリック・ゴールドスタイン氏は、報道陣との電話会議で「ランサムウェアの脆弱性警告プログラムを通じて(注2)、CISAは約300の組織に対して、脆弱なインスタンスを実行している旨と、攻撃を受ける前に緩和策を講じる必要がある旨を通知した」と述べている。
相次ぐCitrixBleedの悪用 多要素認証を回避する攻撃も確認
Boeingへのサイバー攻撃は(注3)、2023年の夏に脆弱性が発見されて以来、相次ぐ悪用の最新の例である(注4)。Citrixは「CVE-2023-4966」としてリストに記載されたこの脆弱性に対するパッチを2023年10月初旬にリリースしたが(注5)、以前の悪用については認識していなかったと主張している。
Mandiantの研究者は「2023年8月以降、脆弱性を悪用する活動を観察している」と述べた。2023年10月、MandiantはCitrixの顧客に対して、以前のセッションを削除するよう警告した。なぜならパッチがリリースされる前に悪用されたシステムに、依然として脅威グループがアクセスできるためだ。
Google Cloudのグループ企業であるMandiant ConsultingのCTO(最高技術責任者)であるチャールズ・カーマカル氏によると、CitrixBleedに関連する最近のランサムウェア攻撃の波には、攻撃者が機会をうかがっている様子が見られるという。
カーマカル氏は「原則として、脆弱性のあるサーバを保有する人は誰でも攻撃者にセッションIDを盗まれる可能性がある。しかし、金銭的な動機を持つ攻撃者は、最初に最大の組織に対して多面的な恐喝を実施することに焦点を当てている。それがうまくいかない場合、身代金を支払う可能性がある被害者を狙う」と語る。
連邦当局によると、ハッカーはCitrixBleedを悪用して要求されるパスワードや多要素認証を回避し(注6)、正規のユーザーセッションを乗っ取っているという。連邦当局はまた、攻撃に使用された悪用技術の詳細な分析結果も発表した(注7)。
米多州間情報共有・分析センター(MS-ISAC)でセキュリティオペレーションとインテリジェンスに関連する業務を担当するバイスプレジデントのランディ・ローズ氏は「中小企業や地方自治体に対する攻撃で、脅威グループがCitrixBleedを悪用しようとしている証拠がある」と述べた。
これらの組織の多くは、大企業や政府機関と比較してパッチを適切なタイミングで完全に実施するためのリソースが不足している。
Citrixは、2023年11月20日に公開したブログ記事で(注8)、顧客に対し、最新のビルドにアップグレードし、セキュリティログの確認を含む緩和策を講じるよう呼びかけた。
セキュリティ研究者のケビン・ボーモント氏は、CitrixBleedをここ数週間のいくつかの大規模な攻撃と関連付け(注9)、ブラックフライデーを前に、一部の小売業者は依然として無防備であると警告している。
CISAとFBIは、MS-ISACおよび豪サイバーセキュリティセンター(ACSC)と共同で勧告を発表した。
(注1)#StopRansomware: LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability(CISA)
(注2)CISA launches ransomware warning pilot for critical infrastructure providers(Cybersecurity Dive)
(注3)Weeks after Boeing attack, ransomware group leaks allegedly stolen files(Cybersecurity Dive)
(注4)CitrixBleed sparks race to patch, hunt for malicious activity(Cybersecurity Dive)
(注5)CVE-2023-4966 Detail(NIST)
(注6)Citrix Netscaler patch for critical CVE bypassed by malicious hackers(Cybersecurity Dive)
(注7)MAR-10478915-1.v1 Citrix Bleed(CISA)
(注8)NetScaler investigation recommendations for CVE-2023-4966 (netscaler)
(注9)X(X)
関連記事
徳丸 浩氏が“独断と偏見”で選ぶ 2023年気になった事件と2024年脅威予測
2023年は多くのサイバー攻撃が発生したが、この中で徳丸 浩氏が注目したものは何だったのだろうか。2023年のセキュリティトレンドを振り返りつつ、2024年の脅威予測をお伝えしよう。
サイバー攻撃者はなぜギャンブル業界を狙うのか? お金だけじゃないその理由
サイバー攻撃者は近年、ギャンブル業界を標的にしたランサムウェア攻撃を仕掛ける傾向にある。一体なぜこの業界が狙われているのか。理由は金銭だけではないようだ。
Microsoftが批判を受けてサイバー戦略を全面的に見直し 3つの大きな変更とは?
Microsoftはセキュリティ・バイ・デフォルトを採用するためにサイバー戦略を大幅に刷新した。この計画は2023年のはじめに、同社がセキュリティ機能に関する追加の課金を顧客に対して行い、大きな反発を受けた後に発表された。
50カ国が賛同した“身代金支払いの拒否”の共同声明 だが専門家は影響を疑問視
CRIのメンバーである50カ国は「各国政府の権限の下にある機関は、ランサムウェアに関連する身代金を支払うべきではない」という共同声明を発表した。この誓約は、禁止に向けた第一歩になる可能性がある。
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
ITmediaはアイティメディア株式会社の登録商標です。