Citrix製品のゼロデイ脆弱性 リリース後も53%がパッチを適用せず:Cybersecurity Dive
研究者たちは、何千台ものCitrix NetScalerのデバイスが攻撃に対して脆弱なままであると警告している。
ハッカーが「Citrix NetScaler Application Delivery Controller」(以下、NetScaler ADC)および「NetScaler Gateway」のゼロデイ脆弱(ぜいじゃく)性を悪用し、電力やガス、鉄道、空港などの重要インフラプロバイダーに侵入した事件を受け、連邦当局やセキュリティ研究者は各組織に対してネットワーク環境を保護するよう呼びかけている。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)における2023年7月17日(現地時間、以下同)の週の発表によると(注1)、ハッカーは同年6月、Citrixの非本番環境のNetScaler ADCにWebシェルを設置後、重要インフラプロバイダーの「Active Directory」からデータを盗むことに成功した。さらにハッカーは組織のドメインコントローラーに移動しようとしたが、ネットワーク・セグメンテーションコントロールによりブロックされた。
NetScaler ADCのゼロデイ脆弱性についてMandiantが調査報告
セキュリティ企業のMandiantの研究者は侵害時、NetScaler ADCに完全にパッチが適用されていたケースがどのくらいあるのか調査していると述べた(注2)。
Mandiantの広報担当者は「最初の侵害の時点で、影響を受けたアプライアンスには最新のパッチがインストールされていた。Citrixはまだゼロデイパッチを公開していなかったため、アプライアンスはこの特定の攻撃に対して脆弱だった」と話している。
Citrixについては2022年1月に、Vista Equity PartnersとEvergreen Coast Capitalの関連会社によって165億ドルで買収される契約が締結されていた(注3)。Citrix ADCとCitrix Gatewayは現在、Netscaler ADCとNetscaler Gatewayと呼ばれている。
Mandiantによると、Netscaler ADCは主にIT分野で使用され、エンタープライズやクラウドデータセンターの重要な要素とされており、継続的な改善を実施し、アプリケーションの可用性および安全性、最適なパフォーマンスを発揮できる状態を確保する役割を果たしている。
2023年7月21日に発表されたブログをMandiantが執筆している時点では、公開されているPoC(概念実証)は存在しなかった。Mandiantは直接の原因究明するための十分な情報を持っていないが、同侵害は、以前にも実行された中国に関連する脅威アクターの活動と一致しているとのことだ。
Citrixは2023年7月18日にセキュリティアップデートをリリースし(注4)、影響を受ける全ての組織に対し、システムにパッチを当てるよう促した。
セキュリティ企業のBishop Foxの研究者によると、インターネットに公開されている約6万1000台のアプライアンスが影響を受け、そのうちの約53%が修正されていない状態だという(注5)。
(注1)Threat Actors Exploiting Citrix CVE-2023-3519 to Implant Webshells(CISA)
(注2)Exploitation of Citrix Zero-Day by Possible Espionage Actors (CVE-2023-3519)(Mandiant)
(注3)Citrix to be Acquired by Affiliates of Vista Equity Partners and Evergreen Coast Capital for $16.5 Billion(Citrix)
(注4)Citrix ADC and Citrix Gateway Security Bulletin for CVE-2023-3519, CVE-2023-3466, CVE-2023-3467(Citrix)
(注5)Citrix ADC Gateway RCE: CVE-2023-3519 is Exploitable, and 53% of Servers Are Unpatched(Bishop Fox)
関連記事
- 1900台超のCitrix NetScalerにバックドアが仕込まれている、日本でも確認
「Citrix NetScaler」の脆弱性を悪用するエクスプロイトキャンペーンが報告された。1900台以上にバックドアが仕込まれ、日本でも影響が確認されている。セキュリティパッチ適用後もリスクが残るため迅速な対応が求められる。 - Microsoftの“ずさんなセキュリティ対策”に非難集中 おわびのログ機能無料提供へ
Microsoftは、顧客の電子メールアカウントがハッキング被害に遭った件を受けて、クラウドセキュリティログ機能を無償で提供する予定だ。同社はこの件について連邦政府や競合他社から厳しい批判を受けている。 - 積水化学の“本気すぎる”セキュリティ対策 リテラシー教育から情報管理体制構築まで
積水化学工業は役員や一般従業員といった非IT従事者に向けて徹底したサイバー演習やリテラシー教育を実施し、強固なリスクマネジメント体制を整えている。同社の事例を紹介しよう。 - 量子攻撃に備えよ Googleが量子耐性を持つFIDO2セキュリティキーを公開
Googleはセキュリティキーファームウェア「OpenSK」の一部として、量子耐性FIDO2セキュリティキーの新しい実装を公開した。このハイブリッド署名スキーマは従来のサイバー攻撃と量子コンピュータによるサイバー攻撃への耐性を兼ね備えている。
© Industry Dive. All rights reserved.