Citrix Bleed CVE-2023-4966:全米の病院におけるパッチ適用を保険省が要請

US Health Dept urges hospitals to patch critical Citrix Bleed bug

2023/12/02 BleepingComputer — 今週に、米国の保健社会福祉省 (HHS:Health and Human Services) は複数の病院に対して、攻撃で活発に悪用されている Netscaler の深刻な脆弱性 Citrix Bleed (CVE-2023-4966) にパッチを当てるよう警告を発した。Citrix Bleed を悪用する複数のランサムウェア・グループが 、すでにログイン要件や多要素認証保護を回避し、標的のネットワークに侵入している。

11月30日に、HHS のセキュリティ・チームである HC3 (Health Sector Cybersecurity Coordination Center) が、セクター・アラートを発表した。米国における、すべての医療機関に対して、ランサムウェア・ギャングの攻撃から、脆弱な NetScaler ADC/NetScaler Gateway デバイスを保護するよう促している。

HC3 は、「Citrix Bleed 脆弱性が、積極的に悪用されている。医療/公衆衛生 (HPH:Healthcare and Public Health) セクターでの被害の拡大を防ぐために、アップグレードを強く要請している。このアラートには、攻撃の検知と脆弱性の緩和に関する情報が含まれている。我々は、ユーザーと管理者に対し、HPH セクターでの深刻な被害を防ぐために、これらの推奨される措置を確認し、デバイスをアップグレードすることを強く推奨する」と警告している。

これに先立ち、Citrix は2つの警告を発表し、問題のアプライアンスに直ちにパッチを当てるよう、管理者たちに求めている。また、セキュリティ・アップデートをインストールした後であっても、攻撃者による認証トークンの摂取を防ぐために、アクティブなセッションと永続的なセッションを、すべて終了させるよう、管理者たちに注意を促している。

最近になって CISA と FBI は、LockBit ランサムウェア・グループが攻撃に加わっていることについて警告を発している。LockBit の被害を受けた、航空宇宙大手の Boeing が発表したのは、Citrix Bleed を悪用する LockBit アフィリエイトが、10月に同社のネットワークに侵入した際の詳細な経緯である。

何千台ものサーバが暴露され、その多くがすでに侵入されている

サイバー・セキュリティの専門家である Kevin Beaumont は、世界中の LockBit 被害者に対する、サイバー攻撃を追跡/分析したところ、それらの攻撃の全てが、Citrix Bleed の悪用により侵入された可能性が高いことを発見した。被害者となった企業には、Boeing/ICBC (Industrial and Commercial Bank of China)/DP World/Allen & Overy などが含まれる。

また、12月2日に Beaumont が明らかにしたのは、米国を拠点とする MSP (Managed Service Provider) が、1週間以上前に Citrix Bleed の脆弱性を悪用するグループにより、ランサムウェア攻撃を受けたことである。

現在も、この MSP は、脆弱性のある Netscaler アプライアンスの安全確保に取り組んでいるが、顧客のネットワークやデータが、さらなる攻撃にさらされる可能性があるという。

Citrix Bleed US MSP


Citrix は 10月初旬に、この脆弱性にパッチを適用しているが、遅くとも 2023年8月下旬から、ゼロデイとして積極的に悪用されていたことが、Mandiant により明らかになった。

10月25日には、外部攻撃サーフェス管理会社である AssetNote は、パッチが適用されていない Citrix アプライアンスからセッション・トークンが盗まれることを示す、CVE-2023-4966 の PoC エクスプロイトをリリースしている。

11月中旬には、日本の脅威研究者である Yutaka Sejiyama が、「この深刻な欠陥へのパッチが適用されてから1カ月以上が経過した現在も、10,000万台以上の Citrix サーバ (その多くは各国の重要な組織に属している) が、Citrix Bleed 攻撃に対して脆弱な状態にある」とBleepingComputer に述べている。

全米の 5,000の病院と医療提供者を代表する、医療業界団体である米国病院協会の Cybersecurity/Risk Advisor である John Riggi は、「この、HC3 による緊急の警告は、Citrix Bleed の脆弱性に対する深刻さと、既存の Citrix のパッチとアップグレードを導入することで、迅速にシステムの安全性を確保することの必要性を示している。また、主にロシア語話者のグループであるランサムウェア・グループが、病院や医療システムを標的にし続ける状況も示唆されている。ランサムウェア攻撃は医療提供を混乱させ、治療などを遅らせ、患者の命を危険にさらす」とコメントしている。

何度目の Citrix Bleed CVE-2023-4966 情報なのでしょうか。もう、すでに数えられなくなっています。文中でも指摘されているように、ログイン要件や多要素認証保護を回避した複数のランサムウェア・グループが 、標的のネットワークに侵入している状況とのことです。そして、侵入されていることを認識できていない組織が、多数あることが問題なのでしょう。