Citrix 製品群における CVE-2023-24483 などの深刻な脆弱性が FIX:回避策は存在しない

Citrix fixes severe flaws in Workspace, Virtual Apps and Desktops

2023/02/15 BleepingComputer — Citrix Systems は、Virtual Apps and Desktops/Workspace Apps の脆弱性に対する、セキュリティ・アップデートを公開した。この脆弱性の深刻度は高く、ターゲットに対してローカル・アクセスが可能な攻撃者が特権昇格し、影響を受けるシステムの制御を可能にするとされる。Citrix 製品群は、世界の企業で広く使用されているため、システムに侵入した攻撃者による容易な特権昇格を阻止するための、セキュリティ・アップデートの迅速な適用が重要となる。


サイバー・スパイやランサムウェアなど、幅広いサイバー攻撃において、特権への昇格は重要なステップである。脅威アクターたちが高い特権を目指すのは、秘密裏のデータ流出/セキュリティ・ソフトウェアの無効化/ランサムウェア攻撃の拡散などにおいて、それが不可欠だからである。

米国 Cybersecurity & Infrastructure Security Agency (CISA) も、Citrix のセキュリティ・アップデートが急務であるという、注意喚起を発表している。

2023年2月14日に Citrix が対応した脆弱性は、以下の通りである。

  • CVE-2023-24483: 権限管理の不備による NT AUTHORITY への権限昇格。2212 以前の Citrix Virtual Apps and Desktops/CU2 以前の2203 LTSR/CU6 以前の 1912 LTSRに影響する。
  • CVE-2023-24484:アクセス制御の不備により、一般ユーザーがアクセスできないはずのディレクトリに、ログ・ファイルが書き込まれることがある。2212 以前の Citrix Workspace App for Windows/CU2 以前の 2203 LTSR/CU6 以前の 1912 LTSR に影響する。
  • CVE-2023-24485: 権限昇格につながる不適切なアクセス制御の欠陥。2212 以前のCitrix Workspace App for Windows/CU2 以前の 2203 LTSR/CU6 以前の 1912 LTSR に影響する。
  • CVE-2023-24486:不適切なアクセス制御による、セッション乗っ取られる可能性を生じる。2302 以前の Citrix Workspace App for Linux に影響する。

CVE-2023-24483 は、今回対応した不具合の中で、最も深刻な不具合である。NT AUTHORITY-SYSTEM は、Windows における最高レベルのアクセス権限であり、この権限を得た攻撃者は、任意のコード実行/機密情報へのアクセス/システム設定の変更などを、無制限に行うことが可能となる。

侵入されたシステムがネットワークの一部である場合には、NT AUTHORITYSYSTEM のアクセス権を獲得した攻撃者が、ネットワーク内で横方向に移動し、隣接するシステムにもピボットする恐れが生じる。

上記の不具合に対応するために推奨されるアップグレード対象は、以下の通りである。

  • Citrix Virtual Apps and Desktops 2212 and later versions 
  • Citrix Virtual Apps and Desktops 2203 LTSR CU2 and later cumulative updates
  • Citrix Virtual Apps and Desktops 1912 LTSR CU6 and later cumulative updates
  • Citrix Workspace App 2212 and later 
  • Citrix Workspace App 2203 LTSR CU2 and later cumulative updates
  • Citrix Workspace App 1912 LTSR CU7 Hotfix 2 (19.12.7002) and later cumulative updates 
  • Citrix Workspace app for Linux 2302 and later

Citrix は、「それぞれのユーザーにおいて、可能な限り早急にアップグレードすることが強く推奨される。現時点において、発見された問題に対する緩和策や回避策が存在しないため、影響を受ける製品のアップデートが、リスクに対処するための唯一の推奨方法となる」と述べている。

Citrix の一連の脆弱性ですが、お隣のキュレーション・チームに聞いてみたところ、最も深刻とされる CVE-2023-24483 には対応しているようですが、その他の脆弱性に関しては詳細情報を待っている状況とのことでした。また、文中にある CISA に関する情報ですが、注意喚起はあっても、KEV リストには追加されていないようです。

2022/12/28:Citrix ADC/Gateway のパッチ未適用
2022/12/13:ADC/Gateway のゼロデイ CVE-2022-27518
2022/11/08:Citrix ADC/Gateway 認証バイパスの脆弱性