シトリックス・ブリードの背景 シトリックスブリード

Citrix NetScaler®の致命的な脆弱性であるCitrix Bleedは、コンピューティング業界の出版物で大きく取り上げられています。この投稿では、Citrix Bleedに関する背景と、脆弱性が発見されてから数カ月が経過した現在もこの記事が取り上げられ続けている理由について説明します。

最初の発見と緩和

2022年にCitrix®とTIBCO®が合併して誕生したCloud Software Group（CSG）は、2023年7月18日、顧客管理型のNetScaler® ADCおよびNetScaler Gatewayで発見された3件の重大な脆弱性をCitrix Knowledge CenterのSecurity Bulletinとして発表した。同公報によると、最も重大な脆弱性である CVE-2023-3519 はすでに悪用されていた。

その際、CSGは、NetScaler ADCとGatewayソフトウェアの更新版を未導入のアプライアンスにインストールすることを推奨し、セキュリティ更新プログラムもリリースし、顧客にできるだけ早くパッチを適用するよう促した。

2023年7月20日、米国国土安全保障省(DHS)の一部であるCybersecurity and Infrastructure Security Agency (CISA)は、CVE-2023-3519が2023年6月に米国の重要インフラ組織に対して悪用され、7月にCISAに報告されたことを認めるサイバーセキュリティアドバイザリを発行しました。(注：CVE識別子は、約100のCVE番号付与機関(CNA)のうちの1つによって付与されます。MITRE Corporationは、この組織の編集者であり、主要なCNAです)。

このエクスプロイトでは、ハッカーは組織のNetScaler ADCアプライアンス上にWebシェル（Webサーバーへのリモートアクセスを可能にするマルウェア）をドロップした。この行為により、ハッカーは組織のActive Directory（AD）から、ネットワーク上のユーザー、グループ、アプリケーション、デバイスに関する情報を含むデータを盗むことができました。

幸運なことに、標的となったアプライアンスは組織のネットワーク内に隔離されていたため、ハッカーはADドメインの認証と承認サービスを提供するドメインコントローラーを侵害することができなかった。組織は ハッカーを撃退し、攻撃を制限することができた。

当時、Shadowserver Foundationは、パッチが適用されない限り、世界中にある15,000台以上のCitrixサーバーが危険にさらされると推定していた。

シトリックス・ブリードへの進化

CSGは2023年10月10日、顧客が管理するNetScaler ADCおよびNetScaler Gatewayデバイスに新たな脆弱性が存在することを公表した。この脆弱性には、CVE-2023-4966 という識別子が割り当てられており、Citrix Bleed という通称が与えられています。これは、2014 年に悪用が拡大し、ハッカーにパスワード、暗号化キー、銀行認証情報などの機密情報を盗まれた Heartbleed と呼ばれる悪名高い脆弱性を暗示しています。

Citrix Bleedにより、リモートの認証されていない攻撃者は、脆弱なNetScalerデバイスのメモリから、機密性の高いセッショントークンを含むデータを抽出することができます。驚くべきことに、この脆弱性を利用することは非常に簡単で、ハッカーがNetScalerデバイスによって管理されるネットワークを制御し、ユーザーリクエストを認証するセッショントークンを使用して、パスワードを必要とせず、 2要素認証を使用せずにユーザーデータにアクセスできるようになります。

CSGは、Citrix Bleedに対するパッチを発行したが、10月¹⁷ 日にセキュリティアドバイザリを更新し、野放し状態での悪用を観測したこと、すなわち、この脆弱性がすでに多くの組織で活用されている証拠を公表した。実際、一部のサイバーセキュリティ企業は、8月下旬の時点でこの脆弱性が悪用されていることを検知していた。

Citrix Bleedのエクスプロイトはおそらく継続中

この記事を書いている時点で、ボーイング社やXfinity社を含む多くの大企業が、Citrix Bleedによるセキュリティ侵害を公表している。また、Citrix Bleed を悪用して機密情報を入手し、販売したり、身代金を要求したり、情報収集活動の一環として活用しようと積極的に活動している脅威グループもいくつかあります。そして、これらのグループがCitrix Bleedを悪用し続ける限り、業界メディアはその結果生じる侵害を取り上げ続けるでしょう。

このようなグループが依然として Citrix Bleed を悪用しようとしているのはなぜでしょうか。前述のとおり、Citrix Bleedは、組織が適切なパッチの適用を怠った場合に悪用されやすいものですが、パッチの適用に加えて、IT部門はデバイスを再起動する前にアクティブおよび永続的なセッショントークンを無効にする必要があります。この無効化により、ハッカーがメモリ内の有効なセッショントークンにアクセスし、それを使用してアクティブなセッションを制御し、機密性の高いユーザー情報にアクセスすることを防ぐことができます。

Citrix Bleedは悪用が非常に簡単であるため、NetScalerを使用しているすべての組織は、デバイスが侵害されたと仮定し、すべての適切なパッチが適用され、セッショントークンが無効化されていることを確認する必要があります。さらに、IT部門は、すべてのネットワークデバイスとインフラ全体に侵害の兆候がないか精査する必要があります。

次はどうする？

Citrixの顧客、特にコンピューティングインフラでNetScalerを利用している顧客にとって、Citrix Bleedは悲惨な経験であった。その結果、Citrix の TIBCO との最近の買収と合併が NetScaler 製品チームの注意をそらし、自社製品に重大なセキュリティ上の欠陥があることを認識するのを遅らせたのではないかと疑問を抱く顧客もいるだろう。Citrix/CSGの顧客の中には、Citrix/CSGの非常に複雑なインフラストラクチャの他の要素が危険にさらされている可能性があるのではないかと考えている人もいるかもしれない。

Windowsアプリケーションを顧客に提供するためにCitrixの使用を再検討している、またはエンドユーザーコンピューティングインフラの複雑さを軽減したい、あるいはWindowsアプリケーションを提供するためのコストを削減したいと考えているISVまたはMSPのお客様は、GO-Globalをご検討ください。

GO-Globalアプリケーションパブリッシングを使用すると、Windowsアプリケーションはサーバー上で実行され、パブリック、プライベート、またはハイブリッドクラウドのいずれにもインストールできます。GO-Globalは、クラウドサービスの既存のインフラストラクチャ、セキュリティ、およびスケーラビリティ機能を活用し、高度な機能をより少ない複雑性、低コスト、低リスクで提供します。

セキュリティを重視する組織にとって、GO-Globalは二要素認証をサポートし、OpenID® Connect（OIDC）のシングルサインオンをサポートする唯一のWindowsアプリケーションパブリッシングソリューションです。これにより、組織はOkta®やMicrosoft® Active Directory Federated Services（ADFS）などのOIDC IDプロバイダーを使用して、GO-Global Windowsホストにシングルサインオンすることができます。

低価格にもかかわらず、GO-Globalはエンタープライズレベルのスケーラビリティを提供しながら、インストール、設定、使用が簡単で、低帯域幅の接続でも高速ログインと最小限の待ち時間を含む優れたユーザー体験を提供します。

複雑さを減らす。コストを削減する。リスクを減らす。

GO-Globalを手に入れよう。

詳細については、こちらから デモをリクエストするか、 30日間の無料トライアルをダウンロードしてください。