脅威アクターは、NetScalerアプライアンスの脆弱性を悪用し、侵害を受けたシステムへの持続的なアクセスを確立しています。影響を受けるNetScalerシステム、世界中の脆弱なシステムへの攻撃方法、そしてこのサイバーセキュリティ攻撃からビジネスを守る方法についてご確認ください。
ジャンプ先:
- Citrix NetScalerの脆弱性を悪用
- ウェブシェルでバックドアを仕込まれた、露出したNetScalerアプライアンス
- 攻撃が成功すると、ウェブシェルを埋め込む以上のことが起こる可能性がある
- サイバーセキュリティの脅威からビジネスを守る方法
Citrix NetScalerの脆弱性を悪用
Citrixは2023年7月18日、NetScaler ADCおよびNetScaler Gatewayにおける3件の脆弱性(CVE-2023-3519、CVE-2023-3466、CVE-2023-3467)に関するセキュリティ情報を公開しました。このセキュリティ情報では、緩和策が適用されていないアプライアンスで実際に確認されたCVE-2023-3519のエクスプロイトの詳細が示されています。影響を受けるシステムは以下のとおりです。
- NetScaler ADC および NetScaler Gateway 13.1-49.13 以降、13.0-91.13 以降。
- NetScaler ADC 13.1-FIPS 12.1-37.159 以降。
- NetScaler ADC 12.1-FIPS 12.1-55.297 以降。
- NetScaler ADC 12.1-NDcPP 12.1-55.297 以降。
クラウドセキュリティ企業ZScalerは、NetScalerの脆弱性を悪用し、認証されていない攻撃者がルートユーザーとして任意のコードを実行できるようになる仕組みについて、より詳細な情報を提供しました。細工されたHTTP GETリクエストを使用することで、ルートユーザーとして動作するNetScalerパケット処理エンジンにおいて、スタックバッファオーバーフローを引き起こすことが可能です(図A)。概念実証はGitHubで公開されています。
図A
ウェブシェルでバックドアを仕込まれた、露出したNetScalerアプライアンス
英国に拠点を置く情報保証会社NCCグループ傘下のFox-ITは、2023年7月と8月にこの脆弱性に関連する複数のインシデントに対応し、調査中に複数のウェブシェルを発見しました。これは、非営利団体Shadowserver Foundationや、インターネットのセキュリティ強化に取り組む信頼できるパートナーなどによる他の報告書とも一致しています。
これらの発見を受けて、Fox-ITはインターネット上でアクセス可能なNetScalerをスキャンし、既知のWebシェルパスを検索しました。研究者らは、2023年8月9日時点で、約2,000件のIPアドレスにWebシェルによるバックドアが仕掛けられている可能性が高いことを発見しました。Fox-ITの発見はオランダ脆弱性開示研究所と共有され、同研究所は脆弱なシステムの管理者に通知しました。
参照: TechRepublic Premium のネットワークおよびシステム セキュリティ チェックリストをダウンロードしてください。
Shadowserver は、米国はパッチ未適用のシステムの固有 IP が最も多い国であり、2,600 を超える固有 IP が CVE-2023-3519 に対して脆弱であると報告しました (図 B )。
図B
Fox-ITは、現在Webシェルバックドアを含むNetScalerの約69%がCVE-2023-3519の脆弱性を解消したと報告しています。これは、ほとんどの管理者が修正プログラムを適用したものの、システム上で攻撃の兆候がないか綿密に確認しておらず、依然として侵害を受けていることを意味します。同社は、侵害を受けたNetScalerアプライアンスの国別マップを公開しています(図C)。
図C
侵害を受けたNetScalerのほとんどはヨーロッパにあります。Fox-ITの研究者は、「侵害を受けたNetScalerの割合は国によって大きく異なります。例えば、7月21日時点で、カナダ、ロシア、アメリカ合衆国には数千台の脆弱なNetScalerが存在していましたが、これらのNetScalerにWebシェルがインストールされていたものは実質的に存在しませんでした。現時点では、これらの違いについて明確な説明はなく、どのNetScalerが攻撃者の標的となり、どのNetScalerが標的とならなかったかを説明できる確固たる仮説も存在しません」と述べています。
攻撃が成功すると、ウェブシェルを埋め込む以上のことが起こる可能性がある
さらに、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、CVE-2023-3519を悪用したWebシェルの埋め込みについて報告しました。報告書によると、攻撃者は2023年6月という早い時期にこの脆弱性を悪用し、Webシェルを用いて侵入を拡大し、重要インフラ組織のActive Directoryからデータを盗み出しました。脅威アクターはNetScaleの構成ファイルと復号鍵にアクセスし、復号されたActive Directoryの認証情報を使用してActive Directoryにクエリを実行し、収集したデータを盗み出しました。
この重要なインフラストラクチャでは、攻撃者が攻撃をさらに進めないようにセグメンテーションが使用されていましたが、同じ方法を使用する脅威アクターによって他の組織が完全に侵害される可能性があります。
サイバーセキュリティ企業HYASの最高技術責任者(CTO)であるデイブ・ミッチェル氏は、「残念ながら、近年でこのような事態が起きたのは今回が初めてではありません。過去の攻撃では、攻撃者はEDRソフトウェアによる検知を回避するため、公開された管理インターフェースを介してF5、Fortinet、VMwareアプライアンスに侵入の足掛かりを築いていました。このエクスプロイトが既に出回っているかどうかに関わらず、顧客はパッチ適用の前後でデバイスを監視し、IOC(侵入の痕跡)がないか確認することが求められますが、これは明らかに許容できるレベルではありません。このギャップの原因は、教育、管理対象デバイスのアウトソーシング、あるいは組織内のセキュリティ担当の分担などにあるかもしれませんが、ネットワークデバイスへの攻撃がすぐに止まるとは考えられません。」と述べています。
サイバーセキュリティの脅威からビジネスを守る方法
- 脆弱な Citrix NetScaler アプライアンスに今すぐパッチを適用して更新してください。
- 影響を受けるシステムの侵害状況を確認してください。脅威アクターがシステムへの侵入に成功した場合、パッチが適用されていてもシステムにアクセスできてしまう可能性があります。Shadowserverは、アプライアンスのWeb公開フォルダ内にある一般的なWebシェルコンポーネントと、より高い権限を持つバイナリを検出するためのコマンドラインを提供しました。CISAは、アプライアンスへの最後のインストール後に作成されたファイルをチェックするためのコマンドラインを提供しました。
- すべてのHTTPログファイルを注意深く分析してください。DNSログやAD/LDAP/LDAPSログなどのネットワークログファイルも分析し、異常やトラフィックの急増がないか確認する必要があります。
- すべてのシステムにセキュリティ ソリューションを導入し、攻撃によって発生する可能性のあるマルウェアを検出します。
- 攻撃者が一般的な脆弱性や盗まれた資格情報を悪用するのを防ぐために、すべてのアプライアンスとシステムを最新の状態に保ち、可能な場合は多要素認証を有効にしてパッチを適用してください。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
