Citrix ADC/Gateway のパッチ未適用:深刻な脆弱性を引きずる数千台のサーバ

Thousands of Citrix servers vulnerable to patched critical flaws

2022/12/28 BleepingComputer — Citrix ADC/Gateway だが、この数ヶ月の間に修正された2つの脆弱性が、そのまま放置されているサーバが数千台はあるという。1つ目の欠陥は、11月8日に修正された CVE-2022-27510 であり、Citrix の両製品に影響を与える認証バイパスの脆弱性である。その悪用に成功した攻撃者は、デバイスへの不正アクセス/リモートデスクトップの乗っ取り/ログインブルート・フォースなどの攻撃を行えるようになる。2つ目の欠陥は、12月13日に修正された CVE-2022-27518 であり、認証されていない攻撃者による、脆弱なデバイス上でのリモートコマンド実行と乗っ取りを許すものだ。

なお、Citrix から、脆弱性 CVE-2022-27518 に対するセキュリティ・アップデートが公開されたとき、すでに脅威アクターによる悪用が始まっていた。


今日、NCC Group の Fox IT チームの研究者が報告したのは、パブリックな Citrix エンドポイントの大半は安全なバージョンに更新されているが、依然として数千台は攻撃に対して脆弱な状態にあるというものだ。

脆弱性のあるバージョンの発見

2022年11月11日に Fox IT のアナリストが Web をスキャンしたところ、合計 28,000台の Citrix サーバがオンラインであることが判明した。

公開された Citrix サーバ の中に、前述の2つの欠陥に対して脆弱なものを判別するために、サーバからのHTTPレスポンスに含まれていないバージョン番号を、研究者たちは知る必要があった。

しかし、このレスポンスには、Citrix ADC/Gateway のバージョンと照合するために有用な、MD5 ハッシュのようなパラメータが含まれていた。

Hash in the index.htm
Hash in the index.htm (Fox It)

そのため、Fox IT チームは、Citrix/Google Cloud Marketplace/AWS/Azure から入手できる、すべての Citrix ADC バージョンをダウンロードして VM 上に展開し、そのハッシュとバージョンを照合した。

Linking hashes to versions
Linking hashes to versions (Fox It)

入手したバージョンと照合できなかったハッシュについては、ビルド日を特定し、それに基づいてバージョン番号を推測するという手段を取った。

Correlating build dates to hashes
Correlating build dates to hashes (Fox It)

これにより、未知のバージョン (orphan hashes) の数はさらに減り、その段階で、大半のハッシュと製品バージョンは結合された。

数千台の脆弱な Citrix サーバ

最終的な結果は以下のグラフにまとめられており、2022年12月28日の時点で大多数の Citrix サーバは、2つの問題の影響を受けない Ver 13.0-88.14 であることが分かった。

Citrix server versions
Citrix server versions (Fox It)

2番目に多いバージョンは、特定の条件を満たすと CVE-2022-27518 に対して脆弱になる 12.1-65.21 であり、エンドポイントで実行されている数が 3500台であることが分かった。これらのマシンが悪用される条件として、SAML SP/IdP コンフィグレーションの使用があり、3,500台の全てが CVE-2022-27518 に対して脆弱ではないこともは判明した。

さらに、CVE-2022-27510 に対して脆弱な Citrix サーバが 1,000台以上あり、また、2つの深刻なバグに対して脆弱な可能性があるエンドポイントが約 3,000台は存在することが分かった。

3番目に多かったものは、検索において Citrix のバージョン番号が不明なハッシュを返すものであり、3,500台以上のサーバを数え、いずれの欠陥に対しても脆弱である可能性の有無は不明となる。

パッチ適用の進捗については、米国/ドイツ/カナダ/オーストラリア/スイスなどの国々が、セキュリティ・アドバイザリの発表の後に、迅速に対応していた。

Patching speed of each country
Patching speed of each country (Fox It)

Fox IT チームは、重要なセキュリティ・アップデートに未対応な Citrix 管理者の意識向上に、今回のブログが役立つことを期待している。すべてのセキュリティ・ギャップを埋めるには、まだ多くの仕事が残っていることを、この統計は浮き彫りにしている。

この記事で悪用が指摘されている2つの脆弱性ですが、いずれも、Citrix から警告が発せられ、早急なアップデートが強く推奨されていました。詳しくは、以下の記事を ご参照ください。また、CVE-2022-27518 に関しては、12月14日付けで、CISA の KEV にも追加されています。

11/8:Citrix ADC/Gateway 認証バイパスの脆弱性が FIX:直ちにパッチ適用を!
12/13:Citrix ADC/Gateway のゼロデイ CVE-2022-27518:中国 APT5 による攻撃

よろしければ、Citrix で検索も、ご利用ください。