Citrix NetScaler のセッションは削除すべき:脆弱性 CVE-2023-4966 対策を提示

Citrix warns admins to kill NetScaler user sessions to block hackers

2023/11/21 BleepingComputer — 11月21日に Citrix が管理者に呼びかけたのは、NetScaler アプライアンスの脆弱性 Citrix Bleed (CVE-2023-4966) に対するパッチを適用した後であっても、追加の対策を講じて脆弱なデバイスを保護する必要があることだ。必要なセキュリティ・アップデートを適用するだけでは不十分であり、以前のユーザー・セッションを全て消去し、アクティブなセッションを全て終了することが推奨されている。現在進行中の Citrix Bleed 悪用の攻撃で認証トークンが盗み出され、パッチを適用した後であっても侵害したデバイスへの不正アクセスが可能という状況を考えると、このステップは、きわめて重要である。

10月の初旬に Citrix は、この脆弱性に対してパッチを適用したが、Mandiant によると、遅くとも 2023年8月下旬以降において、ゼロデイとして積極的に悪用されているとのことだ。

さらに Mandiant は、侵害された NetScaler のセッションは、パッチ適用した後も持続され、侵害されたアカウントの権限に応じて、攻撃者によるネットワーク上での横移動や、他のアカウントの侵害などが可能だと警告している。

今日の Citrix は、「このセキュリティ情報に記載されているビルドの使用している場合には、更新されたバージョンをインストールし、直ちにアップグレードしてほしい。アップグレード後には、アクティブなセッションと永続的なセッションを、すべて削除することを推奨する」と述べている。

以下のコマンドを使用してアクティブ/永続的なセッションを、すべて強制終了するよう同社が警告したのは、今回で2度目となる:

kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions
LockBit ランサムウェアに悪用される

今日に CISA と FBI は、Multi-State Information ISAC および、Australian Cyber Security Center (ACSC) との共同アドバイザリーにおいて、LockBit ランサムウェア・ファミリーが、脆弱性 Citrix Bleed 悪用していると警告した。

さらに両機関は、このランサムウェア。グループの攻撃を阻止するための、侵害の指標と検出方法を共有した。

また、Boeing は、10月に LockBit が Citrix Bleed エクスプロイトを悪用し、同社のネットワークに侵入した方法についての情報を共有した。Boeing がランサムウェア・ギャングの要求に応じなかったことで、同社のシステムから盗まれた 43GB のデータがダークウェブに流出した。

この共同アドバイザーには、「Boeing は、LockBit 3.0 のアフィリエイトが CVE-2023-4966 を悪用し、同社の部品の流通の事業である Boeing Distribution Inc へのイニシャル・アクセスを取得したことを認めた。他の信頼できるサードパーティも、それぞれの組織に影響を及ぼす同様の活動を観察している」と記している。

CISA が公開したマルウェア分析レポートには、「Citrix NetScaler ADC/NetScaler Gateway アプライアンスに影響を与える脆弱性 CVE-2023-4966 に対応するために、CISA は分析用4つのファイルを受け取った。これらのファイルは、レジストリ・ハイブの保存および、LSASS (Local Security Authority Subsystem Service) のプロセス・メモリ・ダンプで使用されるものだ。また、Windows Remote Management (WinRM) 経由でセッションを確立するものもある」と付け加えられている。

セキュリティ研究者たちによると、1週間ほど前に、インターネットに公開された 10,000 台以上の Citrix サーバが、Citrix Bleed 攻撃に対して脆弱だったという。

Citrix Bleed と名付けられた CVE-2023-4966 ですが、Lockbit や Medusa などに悪用され、甚大な被害が生じています。そして、今日の記事は、必要なセキュリティ・アップデートを適用するだけでは不十分であり、以前のユーザー・セッションを全て消去し、アクティブなセッションを全て終了すべきという、内容になっています。よろしければ、Citrix Bleed + CVE-2023-4966 で検索も、ご利用ください。