Citrix warns admins to patch NetScaler CVE-2023-4966 bug immediately
2023/10/23 BleepingComputer — 10月23日 (月) に Citrix が発表したのは、脆弱性 CVE-2023-4966 のを悪用する攻撃から、すべての NetScaler ADC/Gateway アプライアンスを直ちに保護すべきだという警告である。Citrix は2週間前に、この深刻な機密情報漏洩の脆弱性 CVE-2023-4966 (CVSS 9.4) にパッチを適用した。この脆弱性は、未認証の脅威アクターが、ユーザーによる操作を必要としない複雑度の低い攻撃で、リモートから悪用できるものだとされる。
NetScaler アプライアンスは、ゲートウェイ (VPN 仮想サーバ/ICA プロキシ/CVPN/RDP プロキシ) または、AAA 仮想サーバとしてコンフィグレーションされているはずであり、また、攻撃に対して脆弱である。 修正プログラムがリリースされた時点では、この脆弱性が悪用されている証拠はなかったが、その1週間後に Mandiant により、現在も悪用が続いていることが明らかにされた。
Mandiant によると、2023年8月下旬以降において、脅威アクターはゼロデイとして CVE-2023-4966 を悪用し、認証セッションの窃取や、アカウント乗っ取りを行っていたという。同社は、侵害されたセッションについて、パッチを適用した後も持続するとしている。それに加えて、侵害されたアカウントの権限によっては、ネットワーク上での横方向への移動や、他のアカウント侵害にいたる可能性があると警告している。
さらに Mandiant は、脆弱性 CVE-2023-4966 の悪用により、政府機関やテクノロジー企業のインフラで侵入が発生するという事例を発見した。
管理者に対して強く推奨されるのは、進行中の攻撃からシステムを保護することである。
今日になって Citrix は、「現時点において、セッション・ハイジャックと一致するインシデントの報告があり、この脆弱性を悪用した標的型攻撃の発生について、信頼できる筋から報告を受けている。影響を受けるビルドを使用しているケースで、ゲートウェイ (VPN 仮想サーバ/ICA プロキシ/CVPN/RDP プロキシ) または、AAA 仮想サーバとしてコンフィグレーションしている場合には、この脆弱性 CVE-2023-4966 は Critical である。したがって、最新のビルドを直ちにインストールすることを強く推奨する」と述べている。
Citrix は、「対象システムにおける侵害の有無を判断するためのフォレンジック分析を、提供することはできない」と付け加えている。また、Citrix は、以下のコマンドを使用して、すべてのアクティブおよび永続的なセッションを強制終了させることを推奨している:
NetScaler ADC/NetScaler Gateway デバイスが、ゲートウェイまたは AAA 仮想サーバとしてコンフィグレーションされていない場合には、脆弱性 CVE-2023-4966 に対する攻撃は成立しない。
Citrix が確認しているように、このエクスプロイトには、NetScaler Application Delivery Management (ADM) や Citrix SD-WAN などの製品も含まれる。
10月19日 (木) に CISA は、CVE-2023-4966 を Known Exploited and Vulnerabilities Catalog に追加し、連邦政府機関に対して、11月8日までに積極的な悪用からシステムを保護するよう命じた。
Citrix NetScaler の脆弱性 CVE-2023-4966 ですが、これまでに、2023/10/10 の「Citrix NetScaler の脆弱性 CVE-2023-4966 が FIX:機密情報の漏洩」と、2023/10/18 の「Citrix NetScaler の脆弱性 CVE-2023-4966:8月以降における積極的な悪用が判明」をポストしています。こんな状況の中で、Citrix は 10月23日付で、新たなアドバイザリを提供しています。かなり深刻な状況なのかと推測してしまいます。
IoT OT Security News 
You must be logged in to post a comment.