Recent NetScaler Vulnerability Exploited as Zero-Day Since August
2023/10/18 SecurityWeek — 先日にパッチが適用された Citrix NetScaler Application Delivery Controller (ADC)/NetScaler Gateway に存在する深刻な脆弱性だが、8月以降においてゼロデイとして悪用されていたことが、Google の Mandiant サイバーセキュリティ部門により報告された。この脆弱性 CVE-2023-4966 (CVSS:9.4) は、認証を必要とすることなく悪用が可能であり、Gateway/AAA 仮想サーバとしてコンフィグレーションされたオンプレミス・アプライアンスから、機密情報が漏洩してしまう可能性があるという。
2023年10月10日 (火) に Citrix は、NetScaler ADC/Gateway に存在する深刻度の高い脆弱性 CVE-2023-4966/この脆弱性 CVE-2023-4967 に対するパッチを発表したが、悪用の可能性については言及していなかった。
しかし、10月17日 (火) に Citrix はアドバイザリーを更新し、CVE-2023-4966 に対する悪用が観察されたことを顧客に警告し、NetScaler ADC/Gateway インスタンスに対して、可能な限り早急にパッチを適用するよう促している。
この脆弱性は、NetScaler ADC/NetScaler Gateway バージョン 14.1-8.50/13.1-49.15/13.0-92.19 および、NetScaler ADC バージョン 13.1-FIPS 13.1-37.164/12.1-FIPS 12.1-55.300/12.1-NDcPP 12.1-55.300 で解決されている。
その一方で Mandiant も 10月17日 (火) に 、この脆弱性が8月以降において、政府/専門サービス/テクノロジー分野を標的とする攻撃で悪用されていことを警告した。この脆弱性の悪用に成功した攻撃者は、多要素認証などの強力な認証方法であっても、それらをバイパスして、既存の認証済みセッションをハイジャックする可能性があるという。
Mandiant の警告は、「これらの不正に取得されたセッションは、脆弱性 CVE-2023-4966 に対するアップデートが展開された後も、持続する可能性がある。 さらに、パッチの適用前にセッション・データが盗まれ、その後に脅威アクターにより悪用されるセッション・ハイジャックも観察された」というものである。
それらのセッションに対するアクセスの許可/範囲に基づき、よりさらなるダウンストリーム・アクセスが攻撃者に提供され、認証情報の収集/水平移動/侵害環境内でのリソース・アクセスなどにいたる可能性が生じる。
Mandiant の修復ガイド (PDF) に記されているのは、パッチ適用の準備として 、NetScaler ADC/Gateway インスタンスの隔離と、パッチ未適用のアプライアンスへのアクセス制限である。それに続く対応として、アプライアンスの更新および、更新後の全アクティブ・セッションの終了を確認した上で、悪意のアクティビティ/バックドア/ウェブシェルに対するスキャンの実施が推奨されている。
Mandiant は、「利用可能なログ・レコードや悪用のアーティファクトが不足しているため、対策も限定されている。ユーザー組織が行うべき予防策は、脆弱な NetScaler ADC/Gateway アプライアンスを介してリソースにアクセスするための、プロビジョニングされた ID の認証情報をローテーションすることである」と述べている。
さらに同社は、感染したアプライアンスをクリーンなイメージから再構築し、単一要素認証のリモート・アクセスが許可されている場合には、資格情報をローテーションすることを推奨している。また、イングレス・アクセスの範囲を、信頼できるソース IP アドレスおよび、事前定義されたソース IP アドレスのみに制限することを推奨している。
Mandiant の CTO Charles Carmakal は、「この問題は、リモートコード実行の脆弱性ではないが、活発な悪用と脆弱性の深刻度を考慮して、このパッチ導入を優先してほしい」と述べている。
Citrix NetScaler の脆弱性 CVE-2023-4966 ですが、2023/10/10 の「Citrix NetScaler の脆弱性 CVE-2023-4966 が FIX:機密情報の漏洩」で第一報をお伝えしています。だたし、そのときには悪用の実体いついては触れられていませんでした。そして、Mandiant の調査により、8月以降における積極的に悪用されていたことが判明しました。なお、この脆弱性 CVE-2023-4966/CVE-2023-4967 は、Citrix のアドバイザリ更新と同時に、CISA KEV にも追加されています。
You must be logged in to post a comment.