Citrix Zero-Day Exploited Against Critical Infrastructure Organization
2023/07/21 SecurityWeek — CISA の 7月20日の発表によると、先日に公表された Citrix のゼロデイ脆弱性 CVE-2023-3519 が、重要インフラ組織への攻撃に悪用されているようだ。CISA は、この攻撃が既知の脅威アクターによるものとは断定していない。そして CISA は、標的となった重要インフラ組織で確認された TTPs (Tactics, Techniques, and Procedures) を、潜在的な攻撃を検知する際に有効な情報として共有している。これまでにも Citrix の脆弱性は、金銭的な動機に基づくサイバー犯罪者および、国家に支援される中国などの脅威アクターといった、双方の敵対者により悪用されてきた。
7月18日に発表されたアップデートで修正されたのは、NetScaler Application Delivery Controller (ADC) と NetScaler Gateway 製品に影響をおよぼす、新しい脆弱性である。この脆弱性は、Gateway または AAA (Authentication, Authorization, and Auditing) 仮想サーバ設定されたアプライアンスへ向けた、認証を必要としないリモート・コード実行で悪用される可能性がある。
CISA に報告された攻撃は 2023年6月に発生したものであり、このゼロデイ脆弱性の悪用に成功した脅威アクターは、被害者の非本番環境の ADC アプライアンスに Web シェルをドロップしていた。この攻撃について CISA が報告を受けたのは、翌月のことだった。
CISA は、「この Web シェルにより、脅威アクターは被害者の AD (Active Directory) 上でディスカバリを実行し、AD データの収集/流出を成功させた。続いて攻撃者は、ドメイン・コントローラに移動しようとしたが、アプライアンスのネットワーク・セグメンテーション制御により移動は阻止された」と述べている。
CISA は、TTP の他にも、IoC (Indicators of Compromise) /インシデント対応ガイダンス/緩和策なども共有している。
この脆弱性 CVE-2023-3519 の悪用は、増加すると予想されている。Shadowserver Project は、インターネットに公開された Citrix ADC/Gateway インスタンスに関連する、11,000件以上のユニークな IP を確認したと報告しており、その大部分は米国と欧州に位置している。
脅威インテリジェンス企業の Greynoise も、CVE-2023-3519 悪用の試みを追跡し始めたが、現在までのところ攻撃は確認されておらず、この脆弱性が標的型攻撃に活用されていることが示唆されている。
使用中のインスタンスが、この攻撃に対して脆弱であるかどうかを判断するオープンソース・ツールが、Deutsche Telekom CERT から公開されている。
この、Citrix のゼロデイ脆弱性 CVE-2023-3519 ですが、お隣のキュレーション・チームに聞いてみたところ、やはり 7月20日の CISA 発表に合わせて、レポートをアップしたとのことでした。脆弱なインスタンスの大部分は、米国と欧州にあるとのことですが、11,000件以上ものユニークな IP が確認されているようです。ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.