New critical Citrix NetScaler flaw exposes ‘sensitive’ data
2023/10/10 BleepingComputer — Citrix NetScaler ADC/NetScaler Gateway に存在する脆弱性 CVE-2023-4966 (CVSS : 9.4) により、アプライアンスから機密情報が漏洩する恐れがある。ただし、この攻撃の前提条件としては、対象となるアプライアンスがゲートウェイ (VPN Virtual Server/ICA Proxy/CVPN/RDP Proxy) または、AAA 仮想サーバとして設定されている必要がある。
この脆弱性の悪用に成功した攻撃者により、機密情報の漏洩が引き起こされる可能性があるが、その対象となる情報の種類について Citrix は、詳細を明らかにしていない。
同じアドバイザリで公開された2つ目の脆弱性 CVE-2023-4967 (CVSS:8.2) も、同じ前提条件を持つ深刻度の高い欠陥であり、脆弱なデバイス上でサービス拒否 (DoS) を引き起こす可能性がある。
影響を受ける Citrix 製品のバージョンは以下のとおりである:
- NetScaler ADC/NetScaler Gateway 14.1 (14.1-8.50 未満)
- NetScaler ADC/NetScaler Gateway 13.1 (13.1-49.15 未満)
- NetScaler ADC/NetScaler Gateway 13.0 (13.0-92.19 未満)
- NetScaler ADC 13.1-FIPS (13.1-37.164 未満)
- NetScaler ADC 12.1-FIPS (12.1-55.300 未満)
- NetScaler ADC 12.1-NDcPP (12.1-55.300 未満)
推奨される対処法は、2つの欠陥に対処するセキュリティ更新を実装した、修正バージョンにアップグレードすることだ。なお、今回の Citrix は、緩和策や回避策を提供していない。
Citrix のセキュリティ速報には、「Cloud Software Group は、影響を受けるNetScaler ADC/NetScaler Gateway の顧客に対して、該当する更新バージョンを可能な限り早急にインストールするよう強く要請する」と記されている。
アップグレード対象バージョンは以下の通り:
- NetScaler ADC/NetScaler Gateway 14.1-8.50 以降
- NetScaler ADC/NetScaler Gateway 13.1~49.15 および 13.1 以降
- NetScaler ADC/NetScaler Gateway 13.0~92.19 および 13.0 以降
- NetScaler ADC 13.1-FIPS 13.1-37.164 および 13.1-FIPS 以降
- NetScaler ADC 12.1-FIPS 12.1-55.300 および 12.1-FIPS 以降
- NetScaler ADC 12.1-NDcPP 12.1-55.300 および 12.1-NDcPP 以降
なお、バージョン 12.1 は EOL (end of life) に達しているため、Citrix によるサポートは終了している。したがって、ユーザーに推奨されるのは、アクティブにサポートされるリリースへのアップグレードである。
Citrix 製品は、貴重な資産を持つ大組織で使用されているため、その致命的な欠陥がハッカーに狙われる可能性が高い。
最近の悪用の例としては、脆弱性 CVE-2023-3519 がある。この欠陥は、Citrix により 2023年7月に、ゼロデイのリモートコード実行の脆弱性として修正されている。
ただし、現時点においても、この脆弱性 CVE-2023-3519 は、多数のサイバー犯罪者により積極的に悪用されている。すでに出回っているエクスプロイトにより、バックドア化や認証情報窃取などが行われている。
Citrix NetScaler に関しては、文中でも指摘されているように、昨日である 10月9日にも、脆弱性 CVE-2023-3519 の悪用が止まらないという記事がポストされています。なにかと、悪用されやすい Citrix NetScaler なので、ご利用のチームは、パッチをお急ぎください。よろしければ、Citrix で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.