1900台超のCitrix NetScalerにバックドアが仕込まれている、日本でも確認
「Citrix NetScaler」の脆弱性を悪用するエクスプロイトキャンペーンが報告された。1900台以上にバックドアが仕込まれ、日本でも影響が確認されている。セキュリティパッチ適用後もリスクが残るため迅速な対応が求められる。
セキュリティ企業のFox-ITとオランダ脆弱(ぜいじゃく)性情報開示研究所(DIVD)は2023年8月15日(現地時間、以下同)、仮想アプライアンス製品「Citrix NetScaler」に対する大規模なエクスプロイトキャンペーンを発見したと報じた。
発表によると、サイバー攻撃者はCitrix NetScalerの脆弱性(CVE-2023-3519)を突いてWebシェルを配置し、永続的なアクセスを確立している。一度Webシェルが配置されると、パッチ適用や再起動をしてもWebシェルは永続的に動作して任意のコマンドが実行可能な状態が維持されるため注意が必要だ。
パッチ適用後もバックドアは残り続ける点に注意
Fox-ITによると、すでに1900以上のCitrix NetScalerにバックドアが仕込まれていることが判明しており、日本でも存在が確認されている。該当製品を使用している場合、推奨されている対応を迅速に取ることが望まれる。
今回報じられた脆弱性に関する主なポイントは以下の通りだ。
- 2023年7月18日にリモートコード実行(RCE)を含む複数の脆弱性がCitrix NetScalerに見つかった。サイバー攻撃者は特にCVE-2023-3519として特定されている脆弱性を利用してNetScalerにWebシェルを設置して永続的なアクセスを確立している
- 同エクスプロイトキャンペーンが確認された時点で3万1127台のCitrix NetScalerにCVE-2023-3519の脆弱性が存在していた
- 2023年8月14日の時点で1828台のCitrix NetScalerにバックドアが設置されたままになっている
- バックドアが設置されたCitrix NetScalerのうち1248台にはすでにセキュリティパッチが適用されている
今回の脆弱性はセキュリティパッチを適用しても、適用以前に仕込まれたWebシェルが依然として存在し続ける点に注意が必要だ。Citrix NetScalerを最新版にアップデート済みだとしても、すでにWebシェルが仕込まれていた場合はサイバー攻撃者はアクセス権を得たままになっている。情報が開示される前の時点で同脆弱性の悪用が確認されており、すでに感染してしまっているサーバが多く存在している。
Fox-ITは該当製品を使っている場合、セキュリティアップデートを適用したかどうかにかかわらずWebシェルが設置されているかどうかを確認することを推奨している。バックドアが設置された状態は極めてリスクが高い。迅速に推奨されている侵害兆候のチェックを実施してほしい。
関連記事
- 積水化学の“本気すぎる”セキュリティ対策 リテラシー教育から情報管理体制構築まで
積水化学工業は役員や一般従業員といった非IT従事者に向けて徹底したサイバー演習やリテラシー教育を実施し、強固なリスクマネジメント体制を整えている。同社の事例を紹介しよう。 - Intelプロセッサに新たな脆弱性「Downfall」が見つかる 影響範囲広く注意
Intelのプロセッサに情報漏えいを引き起こす危険がある脆弱性「Downfall」が見つかった。同プロセッサはサーバ市場で70%以上のシェアを占めていることから、インターネットを使用する全てのユーザーが影響を受ける可能性がある。 - Lenovo製ノートPCのBIOSに脆弱性 対象製品は多岐にわたるため迅速な確認を
Lenovo製PCのBIOSに複数の脆弱性が存在することが明らかになった。悪用された場合は任意のコードを実行される危険性がある。対象製品は多岐にわたるため、使用状況を確認の上、該当製品を使用している場合は迅速にアップデートを適用してほしい。 - さまざまな脆弱性を悪用して拡大するbotネット「TrueBot」の実態とは?
マルウェア「TrueBot」によるフィッシング攻撃が拡大している。このマルウェアは幾つかの脆弱性を悪用して被害を着々と拡大しているようだ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.