CISA pushes federal agencies to patch Citrix RCE within a week
2024/01/17 BleepingComputer — 2024年1月17日に CISA は、最近パッチが適用された Citrix NetScaler および Google Chrome のゼロデイ攻撃3件を、Known Exploited Vulnerabilities (KEV) カタログに追加した。CISA は、これらの脆弱性が攻撃で積極的に悪用されているとして、米連邦政府機関に対して、システムの安全性を確保するよう命じており、Citrix の RCE 脆弱性に関しては、1週間以内にパッチを適用するよう求めている。同機関は、このような脆弱性はサイバー攻撃者にとっての常套手段であり、連邦政府企業にとって重大なリスクであると述べている。
2024年1月16日に Citrix は、インターネットに公開された Netscaler ADC と Gateway アプライアンスのコード・インジェクションの脆弱性 CVE-2023-6548/バッファ・オーバーフロー CVE-2023-6549 に対して、直ちにパッチを当てるよう顧客に通知した。これらの脆弱性は、Netscaler 管理インターフェースに影響するものであり、リモート・コード実行/サービス運用妨害攻撃を引き起こす可能性があるという。
セキュリティ・アップデートをすぐにインストールできない場合は、一時的な回避策として、影響を受けるインスタンスへのネットワーク・トラフィックをブロックし、オンラインからのアクセスを防ぐことも可能だ。脅威監視プラットフォームである Shadowserver によると、現時点において 51,000台以上の Netscaler アプライアンスがオンラインで公開されているが、インターネット経由で管理インターフェースにアクセスできるのは 1,500台のみだという。
また、1月17日に CISA は、Chromium V8 JavaScript エンジンにおける CVE-2024-0519 境界外メモリアクセスを KEV リストに追加した。これは、Google が 2024年に入ってから初めてパッチを適用した Chrome のゼロデイ脆弱性となる。
脆弱な NetScaler インスタンスを保護するための1週間
3年前に発行された拘束力のある運用指令 (BOD 22-01) によって、米国連邦政府民間行政機関 (FCEB) は、CISA の KEV リストに脆弱性が追加された後に、指定の期間内にネットワーク上の脆弱なデバイスにパッチを適用することが義務付けられている。
CISA は、パッチがリリースされている3つのゼロデイのうち、NetScaler ADC とゲートウェイの管理インターフェイスに影響を与える CVE-2023-6548 の脆弱性について、1週間以内 (1月24日まで) にパッチを適用するよう求めている。
他の2つの脆弱性 CVE-2023-6549 (NetScaler のバッファ・オーバーフロー脆弱性)/CVE-2024-0519 (Google Chrome の脆弱性) の期日は、3週間以内 (2月7日まで) とされている。
CISA は、CVE-2023-6548 へのパッチ適用を急がせる理由について説明していないが、Citrix の警告を考慮したものと思われる。具体的に言うと、脆弱なアプライアンスを可能な限り早急にセキュアにすべきという指摘と、管理インターフェイスへの大きな影響である。
BOD 22-01 は、米国連邦政府機関のみに適用されるものだ。しかし CISA は、民間企業を含む全ての組織に対しても、これらの脆弱性にできるだけ早くパッチを当てるよう、呼びかけている。
この、1月17日付の CISA KEV ですが、Netscaler の脆弱性のうち、CVE-2023-6548 だけが 1月24日の期限となり、その他は 2月7日になっていました。通常は、3週間の猶予が与えられていますが、昨年の秋ごろから、ときたま、1週間という厳しい勧告を目にするようになりました。ご利用のチームは、アップデートをお急ぎください。よろしければ、Citrix で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.