Citrix and NSA urge admins to fix actively exploited zero-day in Citrix ADC and Gateway
2022/12/13 SecurityAffairs — Citrix ADC/Gateway のゼロデイ脆弱性 CVE-2022-27518 に対する、セキュリティ・アップデートの適用が管理者たちに推奨されている。この脆弱性は、中国に関連する脅威アクターたちが標的とする、ネットワークへのアクセスのために積極的に悪用されているという。Citrix のブログポストには、「この脆弱性を悪用する、少数の標的型攻撃を認識している」と記されている。この脆弱性の悪用に成功した、認証されていないリモートの攻撃者は、対象となるアプライアンス上で任意のコード実行を可能にするという。
同社が公開したアドバイザリには、「Citrix Gateway/Citrix ADC に脆弱性が発見された。この脆弱性の悪用に成功した未認証のリモート攻撃者は、アプライアンス上で任意のコード実行を可能にする。すでに、この脆弱性問題を悪用した、アプライアンスへの攻撃が報告されている。Citrix ADC/Citrix Gateway で、この脆弱性の影響を受ける顧客に対して、該当するアップデート版を可能な限り早急にインストールするよう強く要請する」と記されています。
同社によると、この脆弱性は、Citrix ADC/Citrix Gateway の Build 13.0-58.32 以前の、12.1/13.0 に影響を与えるが、Ver 13.1 には影響しないという。
同社は、影響を受けるビルドを SAML SP または IdP のコンフィグレーションで使用している顧客に対して、直ちに推奨バージョンをインストールするよう促している。
また、同社のアドバイザリでは、この脆弱性に対する回避策は存在しないと指摘されている。
管理者は、以下の2つのコマンドを用いて ns.conf ファイルを検査することで、インストールされているコンフィグレーションを判断できる。
- add authentication samlAction (SAML SPとして構成されている)
- add authentication samlIdPProfile (SAML IdP として構成されている)
国家安全保障局 (NSA:National Security Agency) も、Cybersecurity Advisory (CSA) をリリースしました。そこには、Citrix ADC/Citrix Gateway に対して脅威アクターたちが悪用する、ツールの検出/緩和に関するガイダンスが含まれている。
この情報機関によると、中国に関連する APT5 (別名 UNC2630/MANGANESE) は、Application Delivery Controller (ADC™) の配備に関する能力を持つという。
NSA はアドバイザリで、「NSA はパートナーとの協力のもと、この種のアクティビティにおける痕跡を探すために、組織が取るべき手順のガイダンスを作成した。ただし、このガイダンスは、これらの環境を標的とする際に行為者が使用する、すべての TTP (techniques, tactics, or procedures) を表すものではないことに注意してほしい。このアクティビティは、UNC2630/MANGANESE とも呼ばれる、APT5 に起因している」と述べている。
Citrix ADC/Gateway の、ゼロデイ脆弱性 CVE-2022-27518 に対する、セキュリティ・アップデートが適用されました。中国の脅威アクターたちが積極的に悪用しているとのことで、早急な対応が推奨されています。2022年の Citrix の脆弱性としては、4月13日の「Citrix SD-WAN 製品ポートフォリオの脆弱性 CVE-2022-27505 などが FIX」および、6月15日の「Citrix ADM の深刻な脆弱性 CVE-2022-27511:管理者パスワード・リセットも許してしまう」、11月8日の「Citrix ADC/Gateway 認証バイパスの脆弱性が FIX:直ちにパッチ適用を!」などがあります。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.