Citrix Session Recordingに重大な脆弱性 研究者とCitrixで食い違う主張:Cybersecurity Dive
watchTowrのセキュリティ研究者たちはCitrix Session Recordingの脆弱性を発見した。研究者らは攻撃者が認証なしでアクセスできると主張しているが、Citrixはこの主張に異議を唱えている。
CitrixとwatchTowrのセキュリティ研究者は2024年11月12日(現地時間、以下同)、攻撃者によるシステム制御を可能にする「Citrix Session Recording」のセキュリティの欠陥について警告した。
Citrix製品に見つかった重大な脆弱性 研究者とCitrixで主張が食い違う
発見された脆弱(ぜいじゃく)性には、「NetworkService」のアカウントへのアクセスを許可する権限昇格の脆弱性「CVE-2024-8068」と(注1)、NetworkServiceのアカウントのアクセスの権限でリモートでの限定的なコード実行を可能にする脆弱性「CVE-2024-8069」が含まれている(注2)(注3)。
サイバーセキュリティ事業を営むwatchTowrの研究者によると、この欠陥は社内の脆弱性および不正プログラムの開発に関する継続的な研究の過程で発見されたものだという(注4)。
watchTowrのベンジャミン・ハリス氏(CEO)は、電子メールで次のように述べている。
「Citrixのソリューションの核心は、信用できないユーザーデータを逆シリアル化することであり、そのためにMicrosoftが提供する.NETの機能(BinaryFormatter)を使用している。同機能は安全でないと知られており、Microsoftは安全性を確保できないと明言している。このソリューションが機能するようにインターネットに公開されているネットワークサービスを通じ、私たちはMSMQキューを活用してCitrixが受け取るユーザーデータにアクセスできる」(ハリス氏)
Microsoftは「BinaryFormatter型は危険だ(注5)。逆シリアル化の脆弱性を利用する攻撃者が、対象となるアプリケーション内でサービス拒否や情報漏えい、リモートコード実行の危険性がある」と述べた。
研究者たちは「X」(旧:Twitter)の投稿で「脆弱性調査を実施する非営利組織であるThe Shadowserver Foundationは、米国東部時間午前11時(UTC 16:00)から、PoC(概念実証)に基づく脅威活動を確認し始めた」と述べている(注6)。The Shadowserver Foundationは、攻撃者が認証を受ける必要があるかどうかについての論争があることを認めつつも、ユーザーに対してより安全なバージョンのCitrix Session Recordingにすぐにアップグレードするよう促している。
Citrixの親会社であるCloud Software Groupは、Citrix Session Recordingのユーザーに対し、可能な限り早くソフトウェアをアップグレードするよう促した。また、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)も(注7)、ユーザーに対して通知を確認し、必要なアップグレードを適用するよう促している。
watchTowrの研究者たちがこの欠陥を最初に公表したのは2024年7月中旬のことである。Citrixは同年8月初旬に「この欠陥を再現できない」と回答した。その後、watchTowrはCitrixに概念実証とビデオを提供した。
Citrixはセキュリティ情報を発表し、watchTowrは相互に合意した2024年11月12日に詳細な情報をブログで公開した。しかし、攻撃者がアクセスするために認証を必要とするかどうかという重要な問題を巡って論争が起きている。
ハリス氏は2024年11月13日に、「Cybersecurity Dive」に対して「同脆弱性が認証を必要としない性質であるという点と、その悪用経路について、なぜCitrixが異議を唱えているのか不明だ」と述べた。Cloud Software Groupの広報担当者は、同年11月12日に認証問題について質問された際、「当社のセキュリティチームの分析によると、攻撃者がアクセスするには認証が必要だ」と回答した。
(注1)CVE-2024-8068 Detail(NIST)
(注2)CVE-2024-8069 Detail(NIST)
(注3)Citrix Session Recording Security Bulletin for CVE-2024-8068 and CVE-2024-8069(Citrix)
(注4)Visionaries Have Democratised Remote Network Access - Citrix Virtual Apps and Desktops (CVE-2024-8068 and CVE-2024-8069)(Labs)
(注5)Deserialization risks in use of BinaryFormatter and related types(Microsoft Learn)
(注6)The Shadowserver Foundation(X)
(注7)Citrix Releases Security Updates for NetScaler and Citrix Session Recording(CISA)
© Industry Dive. All rights reserved.
関連記事
もう本物のWebサイトすら信用できない? 劇的に進化するフィッシング攻撃を超解剖
フィッシング攻撃手法は劇的に進化している。本稿は実際にBooking.comで見つかった高度なフィッシングキャンペーンを調査し、攻撃者の巧妙な手法やビジネスモデルを解き明かす。攻撃者はどうやってEDRの検知を回避するのか? Palo Alto Networks調査で判明
Palo Alto NetworksはCortex XDRを狙ったサイバー攻撃の詳細を発表した。脅威アクターがエンドポイントセキュリティ製品の検知をどのように回避しようとしているのかが詳細に解説されている。「え、こんなところからマルウェアに感染?」 BYODに潜む大きな“ワナ”
「BYOD(Bring Your Own Device)」を採用している多くの企業で「組織の一員」と「個人」の線引きが曖昧になった結果、思わぬ情報漏えい被害が生まれています。今回は最近増加している“意外”なマルウェア感染事例を紹介します。半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ
サイバー攻撃の被害を防ぐには一にも二にも最新のパッチ適用が重要です。ただ、最近のサイバー攻撃者の気になる動きから、これだけでは攻撃を防げない実態が見えてきました。