Citrix

Citrix は、企業ネットワークへのアクセスを取得するために国家が支援するハッカーによって積極的に悪用されている Citrix ADC および Gateway の「重大な」ゼロデイ脆弱性 (CVE-2022-27518) に対するセキュリティ更新プログラムを適用することを管理者に強くお勧めします。

この新しい脆弱性により、認証されていない攻撃者が脆弱なデバイスでリモートからコマンドを実行し、それらを制御できるようになります。

Citrix は、この脆弱性が攻撃で積極的に悪用されているため、「できるだけ早く」最新の更新プログラムをインストールするよう管理者に警告しています。

「この脆弱性を利用した少数の標的型攻撃が実際に行われていることを認識しています」と、 アドバイザリに付随するセキュリティ アップデートで Citrix に言及しています。

「SAML SP または IdP 構成で影響を受けるビルドを使用しているお客様は、この脆弱性が重大であると特定されているため、推奨ビルドをすぐにインストールすることをお勧めします。この脆弱性に対する回避策はありません。」 – シトリックス。

この脆弱性は、次のバージョンの Citrix ADC および Citrix Gateway に影響します:

  • 13.0-58.32 より前の Citrix ADC および Citrix Gateway 13.0
  • 12.1-65.25 より前の Citrix ADC および Citrix Gateway 12.1
  • 12.1-55.291 より前の Citrix ADC 12.1-FIPS
  • 12.1-55.291 より前の Citrix ADC 12.1-NDcPP

上記のバージョンは、アプライアンスが SAML SP ( SAML サービス プロバイダー)または SAML IdP ( SAML ID プロバイダー)として構成されている場合にのみ影響を受けます。

管理者は、「ns.conf」ファイルで次の 2 つのコマンドを調べることにより、デバイスがどのように構成されているかを判断できます。

認証 samlAction を追加
認証 samlIdPProfile を追加

上記の構成操作が見つかった場合、管理者はすぐにデバイスを更新する必要があります。

Citrix ADC および Citrix Gateway バージョン 13.1 は CVE-2022-27518 の影響を受けないため、アップグレードするとセキュリティの問題が解決します。

古いバージョンを使用している場合は、12.0 (12.1.65.25) または 13.0 ブランチ (13.0.88.16) で利用可能な最新のビルドにアップグレードすることをお勧めします。

また、Citrix ADC FIPS および Citrix ADC NDcPP は、バージョン 12.1-55.291 以降にアップグレードする必要があります。

Citrix が管理するクラウド サービスを使用している場合は、ベンダーが既に適切な修復手順を実行しているため、何もする必要はありません。

さらに、システム管理者は、ADC アプライアンスに関するCitrix の「ベスト プラクティス」を参照し、ベンダーのセキュリティに関する推奨事項を実装することをお勧めします。

国家支援のハッカーによる悪用

Citrix はこの新しいバグがどのように悪用されているかについて詳細を共有していませんが、NSA は、国家が支援する APT5 ハッカー (別名 UNC2630 および MANGANESE) が積極的に攻撃の脆弱性を悪用していることを共有しています。

「APT5 によるアクティブなエクスプロイト Citrix デバイス。@NSACyber の脅威ハンティング ガイダンスは、このアクティビティを特定して修復するために以下にリンクされています」と、NSA のサイバーセキュリティ ディレクターであるロブ ジョイス (Rob Joyce) 氏は述べています

協調的な開示として、NSA は「 APT5: Citrix ADC Threat Hunting Guidance 」アドバイザリをリリースしました。これには、デバイスが悪用されているかどうかを検出するための情報と、Citrix ADC およびゲートウェイ デバイスを保護するためのヒントが含まれています。

「APT5 は、Citrix® Application Delivery Controller™ (ADC™) の展開 (「Citrix ADC」) に対する機能を実証しました。Citrix ADC を標的にすると、通常の認証制御をバイパスすることで、標的の組織への不正なアクセスが容易になる可能性があります」と、本日リリースされたNSA のアドバイザリには記載されています。

「そのため、NSA はパートナーと協力して、組織がこの種の活動の可能性のあるアーティファクトを探すために実行できる手順を提供するために、この脅威ハンティング ガイダンスを作成しました。このガイダンスは、すべての手法、戦術、または手順を表すものではないことに注意してください ( TTP) 攻撃者は、これらの環境を標的とするときに使用する可能性があります」 – 国家安全保障局

APT5 は、中国政府が支援するハッキング グループであると考えられており、VPN デバイスでゼロデイを利用して初期アクセスを取得し、機密データを盗むことで知られています。

2021 年、 APT5 は Pulse Secure VPN デバイスのゼロデイ攻撃を利用して、米国の防衛産業基地 (DIB) ネットワークに侵入しました。

APT5 は、現時点でこの脆弱性を悪用している既知の唯一の脅威アクターですが、この脆弱性が明らかになった今、他のグループがすぐにそれを利用し始める可能性があります。

ハッカーは過去に同様のセキュリティ問題を利用して、企業ネットワークへの初期アクセス、ランサムウェア、およびデータ盗難につながった攻撃を行っていました。

2019 年、 CVE-2019-19781 として追跡されたリモートコード実行の欠陥が Citrix ADC および Citrix Gateway で発見され、すぐにランサムウェア操作( 1、2 )、 国がサポートする APT軽減バイパスを使用する日和見攻撃者などの標的になりました。 .

エクスプロイトが広く悪用されるようになったため、 オランダ政府は、管理者がセキュリティ アップデートを適用できるようになるまで、Citrix ADC および Citrix Gateway デバイスの電源を切るよう企業に勧告しました