検索
特集

Citrix Session Recordingに重大な脆弱性 研究者とCitrixで食い違う主張Cybersecurity Dive

watchTowrのセキュリティ研究者たちはCitrix Session Recordingの脆弱性を発見した。研究者らは攻撃者が認証なしでアクセスできると主張しているが、Citrixはこの主張に異議を唱えている。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 CitrixとwatchTowrのセキュリティ研究者は2024年11月12日(現地時間、以下同)、攻撃者によるシステム制御を可能にする「Citrix Session Recording」のセキュリティの欠陥について警告した。

Citrix製品に見つかった重大な脆弱性 研究者とCitrixで主張が食い違う

 発見された脆弱(ぜいじゃく)性には、「NetworkService」のアカウントへのアクセスを許可する権限昇格の脆弱性「CVE-2024-8068」と(注1)、NetworkServiceのアカウントのアクセスの権限でリモートでの限定的なコード実行を可能にする脆弱性「CVE-2024-8069」が含まれている(注2)(注3)。

 サイバーセキュリティ事業を営むwatchTowrの研究者によると、この欠陥は社内の脆弱性および不正プログラムの開発に関する継続的な研究の過程で発見されたものだという(注4)。

 watchTowrのベンジャミン・ハリス氏(CEO)は、電子メールで次のように述べている。

 「Citrixのソリューションの核心は、信用できないユーザーデータを逆シリアル化することであり、そのためにMicrosoftが提供する.NETの機能(BinaryFormatter)を使用している。同機能は安全でないと知られており、Microsoftは安全性を確保できないと明言している。このソリューションが機能するようにインターネットに公開されているネットワークサービスを通じ、私たちはMSMQキューを活用してCitrixが受け取るユーザーデータにアクセスできる」(ハリス氏)

 Microsoftは「BinaryFormatter型は危険だ(注5)。逆シリアル化の脆弱性を利用する攻撃者が、対象となるアプリケーション内でサービス拒否や情報漏えい、リモートコード実行の危険性がある」と述べた。

 研究者たちは「X」(旧:Twitter)の投稿で「脆弱性調査を実施する非営利組織であるThe Shadowserver Foundationは、米国東部時間午前11時(UTC 16:00)から、PoC(概念実証)に基づく脅威活動を確認し始めた」と述べている(注6)。The Shadowserver Foundationは、攻撃者が認証を受ける必要があるかどうかについての論争があることを認めつつも、ユーザーに対してより安全なバージョンのCitrix Session Recordingにすぐにアップグレードするよう促している。

 Citrixの親会社であるCloud Software Groupは、Citrix Session Recordingのユーザーに対し、可能な限り早くソフトウェアをアップグレードするよう促した。また、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)も(注7)、ユーザーに対して通知を確認し、必要なアップグレードを適用するよう促している。

 watchTowrの研究者たちがこの欠陥を最初に公表したのは2024年7月中旬のことである。Citrixは同年8月初旬に「この欠陥を再現できない」と回答した。その後、watchTowrはCitrixに概念実証とビデオを提供した。

 Citrixはセキュリティ情報を発表し、watchTowrは相互に合意した2024年11月12日に詳細な情報をブログで公開した。しかし、攻撃者がアクセスするために認証を必要とするかどうかという重要な問題を巡って論争が起きている。

 ハリス氏は2024年11月13日に、「Cybersecurity Dive」に対して「同脆弱性が認証を必要としない性質であるという点と、その悪用経路について、なぜCitrixが異議を唱えているのか不明だ」と述べた。Cloud Software Groupの広報担当者は、同年11月12日に認証問題について質問された際、「当社のセキュリティチームの分析によると、攻撃者がアクセスするには認証が必要だ」と回答した。

© Industry Dive. All rights reserved.

ページトップに戻る