JPCERT-AT-2023-0013
JPCERT/CC
2023-07-19(新規)
2023-10-11(更新)
Citrix
Citrix ADC and Citrix Gateway Security Bulletin for CVE-2023-3519, CVE-2023-3466, CVE-2023-3467
https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467
これらの脆弱性の内、リモートコード実行の脆弱性(CVE-2023-3519)について、Citrixは脆弱性を悪用する攻撃を確認しているとのことです。影響を受ける製品を利用している場合、Citrixが提供する最新の情報や関連情報をご確認の上、速やかに対策の適用などをご検討ください。
- NetScaler ADCおよびNetScaler Gateway 13.1-49.13より前の13.1系のバージョン
- NetScaler ADCおよびNetScaler Gateway 13.0-91.13より前の13系のバージョン
- NetScaler ADC 13.1-FIPS 13.1-37.159より前の13.1-FIPS系のバージョン
- NetScaler ADC 12.1-FIPS 12.1-55.297より前の12.1-FIPS系のバージョン
- NetScaler ADC 12.1-NDcPP 12.1-55.297より前の12.1-NDcPP系のバージョン
なお、すでにEOLを迎えているNetScaler ADCおよびNetScaler Gateway 12.1系も本脆弱性の影響を受けることから、Citrixはサポート対象のバージョンへのアップデートを推奨しています。
また、脆弱性により影響を受ける条件が異なります。リモートコード実行の脆弱性(CVE-2023-3519)の場合、同製品がゲートウェイ(VPN仮想サーバー、ICA Proxy、CVPN、RDP Proxy)かAAA仮想サーバーとして設定されている場合に影響を受けます。設定についてはCitrixの情報をご確認ください。
- NetScaler ADCおよびNetScaler Gateway 13.1-49.13あるいはそれ以降
- NetScaler ADCおよびNetScaler Gateway 13.0-91.13あるいはそれ以降の13.0系のバージョン
- NetScaler ADC 13.1-FIPS 13.1-37.159あるいはそれ以降の13.1-FIPS系のバージョン
- NetScaler ADC 12.1-FIPS 12.1-55.297あるいはそれ以降の12.1-FIPS系のバージョン
- NetScaler ADC 12.1-NDcPP 12.1-55.297あるいはそれ以降の12.1-NDcPP系のバージョン
攻撃の被害を受けた可能性を示す痕跡を検出するため、同製品内のファイルの状況やログを調査する場合の方法やコマンド例が、DETECTION METHODSとして紹介されています。
CISA
Threat Actors Exploiting Citrix CVE-2023-3519 to Implant Webshells
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a
2023年8月14日(現地時間)、Mandiantは脆弱性(CVE-2023-3519)を悪用する活動に関するブログを公開し、脆弱性を悪用する既知の攻撃の被害を受けた可能性を示す痕跡を確認するスクリプトをGitHubで公開しています。脆弱性への対策実施前に侵害されていた場合はマルウェアなどは削除されていないため、対策実施に加えて調査の実施を推奨しています。
Mandiant
Indicators of Compromise Scanner for Citrix ADC Zero-Day (CVE-2023-3519)
https://www.mandiant.com/resources/blog/citrix-adc-vulnerability-ioc-scanner
Fox-IT
Approximately 2000 Citrix NetScalers backdoored in mass-exploitation campaign
https://blog.fox-it.com/2023/08/15/approximately-2000-citrix-netscalers-backdoored-in-mass-exploitation-campaign/
Bleeping Computer
New critical Citrix ADC and Gateway flaw exploited as zero-day
https://www.bleepingcomputer.com/news/security/new-critical-citrix-adc-and-gateway-flaw-exploited-as-zero-day/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
2023-07-21 「IV. 関連情報」を追記
2023-08-16 「IV. 関連情報」に情報を追記
2023-10-11 「V. 攻撃に関する情報」を追記、一部内容の構成を変更
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2023-07-19(新規)
2023-10-11(更新)
I. 概要
2023年7月18日(現地時間)、CitrixはCitrix NetScaler ADC(Citrix ADC)およびNetScaler Gateway(Citrix Gateway)における複数の脆弱性に関する情報を公開しました。本脆弱性が悪用されると、認証されていない遠隔の第三者が任意のコードを実行するなどの可能性があります。Citrix
Citrix ADC and Citrix Gateway Security Bulletin for CVE-2023-3519, CVE-2023-3466, CVE-2023-3467
https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467
これらの脆弱性の内、リモートコード実行の脆弱性(CVE-2023-3519)について、Citrixは脆弱性を悪用する攻撃を確認しているとのことです。影響を受ける製品を利用している場合、Citrixが提供する最新の情報や関連情報をご確認の上、速やかに対策の適用などをご検討ください。
II. 対象
対象となる製品およびバージョンは次のとおりです。- NetScaler ADCおよびNetScaler Gateway 13.1-49.13より前の13.1系のバージョン
- NetScaler ADCおよびNetScaler Gateway 13.0-91.13より前の13系のバージョン
- NetScaler ADC 13.1-FIPS 13.1-37.159より前の13.1-FIPS系のバージョン
- NetScaler ADC 12.1-FIPS 12.1-55.297より前の12.1-FIPS系のバージョン
- NetScaler ADC 12.1-NDcPP 12.1-55.297より前の12.1-NDcPP系のバージョン
なお、すでにEOLを迎えているNetScaler ADCおよびNetScaler Gateway 12.1系も本脆弱性の影響を受けることから、Citrixはサポート対象のバージョンへのアップデートを推奨しています。
また、脆弱性により影響を受ける条件が異なります。リモートコード実行の脆弱性(CVE-2023-3519)の場合、同製品がゲートウェイ(VPN仮想サーバー、ICA Proxy、CVPN、RDP Proxy)かAAA仮想サーバーとして設定されている場合に影響を受けます。設定についてはCitrixの情報をご確認ください。
III. 対策
Citrixから本脆弱性を修正したバージョンへのアップグレードが推奨されています。修正済みバージョンの適用をご検討ください。- NetScaler ADCおよびNetScaler Gateway 13.1-49.13あるいはそれ以降
- NetScaler ADCおよびNetScaler Gateway 13.0-91.13あるいはそれ以降の13.0系のバージョン
- NetScaler ADC 13.1-FIPS 13.1-37.159あるいはそれ以降の13.1-FIPS系のバージョン
- NetScaler ADC 12.1-FIPS 12.1-55.297あるいはそれ以降の12.1-FIPS系のバージョン
- NetScaler ADC 12.1-NDcPP 12.1-55.297あるいはそれ以降の12.1-NDcPP系のバージョン
IV. 関連情報
2023年7月20日(現地時間)、米CISAが脆弱性(CVE-2023-3519)を悪用する攻撃に関するアラートを公開しました。同年6月に同脆弱性を悪用してWebシェルが設置された事案で、同製品の設定ファイルの読み取りやAD資格情報の窃取などが行われていたことが確認されています。攻撃の被害を受けた可能性を示す痕跡を検出するため、同製品内のファイルの状況やログを調査する場合の方法やコマンド例が、DETECTION METHODSとして紹介されています。
CISA
Threat Actors Exploiting Citrix CVE-2023-3519 to Implant Webshells
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a
2023年8月14日(現地時間)、Mandiantは脆弱性(CVE-2023-3519)を悪用する活動に関するブログを公開し、脆弱性を悪用する既知の攻撃の被害を受けた可能性を示す痕跡を確認するスクリプトをGitHubで公開しています。脆弱性への対策実施前に侵害されていた場合はマルウェアなどは削除されていないため、対策実施に加えて調査の実施を推奨しています。
Mandiant
Indicators of Compromise Scanner for Citrix ADC Zero-Day (CVE-2023-3519)
https://www.mandiant.com/resources/blog/citrix-adc-vulnerability-ioc-scanner
V. 攻撃に関する情報
2023年8月15日(現地時間)、Fox-ITは同脆弱性を悪用する攻撃活動に関する情報を公開し、パッチが適用されたシステムでもバックドアが残っているケースがあると指摘しています。同脆弱性についてはパッチ適用の時期に関わらず侵害有無の調査を実施することが推奨されています。Fox-IT
Approximately 2000 Citrix NetScalers backdoored in mass-exploitation campaign
https://blog.fox-it.com/2023/08/15/approximately-2000-citrix-netscalers-backdoored-in-mass-exploitation-campaign/
更新: 2023年10月11日追記
2023年10月6日(現地時間)、IBM X-Forceは同脆弱性を悪用して同製品の認証ログインページを改ざんする攻撃活動に関する情報を公開しました。改ざんされたログインページでは悪性なJavaScriptがリモートから読み込まれ、ページのフォームに入力されたユーザー資格情報が攻撃者のサーバーに送信されます。
IBM X-Force
X-Force uncovers global NetScaler Gateway credential harvesting campaign
https://securityintelligence.com/posts/x-force-uncovers-global-netscaler-gateway-credential-harvesting-campaign/
JPCERT/CCは外部組織からの情報提供に基づき、8月以降に本脆弱性を悪用した攻撃の被害を受けた可能性がある国内のホストの管理者へ、情報提供を行っています。本脆弱性への対策および侵害有無の調査を速やかに実施されることを推奨します。
IBM X-Force
X-Force uncovers global NetScaler Gateway credential harvesting campaign
https://securityintelligence.com/posts/x-force-uncovers-global-netscaler-gateway-credential-harvesting-campaign/
JPCERT/CCは外部組織からの情報提供に基づき、8月以降に本脆弱性を悪用した攻撃の被害を受けた可能性がある国内のホストの管理者へ、情報提供を行っています。本脆弱性への対策および侵害有無の調査を速やかに実施されることを推奨します。
VI. 参考情報
Bleeping Computer
New critical Citrix ADC and Gateway flaw exploited as zero-day
https://www.bleepingcomputer.com/news/security/new-critical-citrix-adc-and-gateway-flaw-exploited-as-zero-day/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
改訂履歴
2023-07-19 初版2023-07-21 「IV. 関連情報」を追記
2023-08-16 「IV. 関連情報」に情報を追記
2023-10-11 「V. 攻撃に関する情報」を追記、一部内容の構成を変更
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp