シトリックスのネットワーク製品に脆弱性、米CISAが警報発令

今回は「シトリックスのネットワーク製品に脆弱性、米CISAが警報発令」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)は現地時間7月20日、Citrix Systemsのネットワーク製品に存在する脆弱(ぜいじゃく)性を悪用したサイバー攻撃を確認したとして警戒情報を発令した。脆弱性の修正パッチもしくは悪用回避策を早急に適用するよう呼びかけている。

 Citrixによると、アプリケーション配信制御(ADC)製品の「NetScaler ADC」(旧称Citrix ADC)と、SSL VPN製品の「NetScaler Gateway」(同Citrix Gateway)には、認証されていない第三者による遠隔からの任意のコード実行(CVE-2023-3519)と、リフレクテッドクロスサイトスクリプティング(CVE-2023-3466)、root管理者への権限昇格の3件の脆弱性が存在する。

 このうちCVE-2023-3519の脆弱性は、既に悪用攻撃の発生が確認された。Citrixは18日に脆弱性を修正するパッチと脆弱性の悪用による影響を緩和する方法、詳細情報をリリースした。影響を受ける製品のうちバージョン 12.1は、既に同社のサポートが終了しているため、同社がサポートを継続しているバージョンに更新する必要がある。

 CISAによれば、6月に米国の重要インフラ組織でCVE-2023-3519の脆弱性を悪用するサイバー攻撃が発生した。攻撃者は、この組織の本番稼働ではない環境に設置されていたNetScaler ADCのアプライアンスで脆弱性を悪用して不正なウェブシェルを展開。NetScaler ADCの設定情報を入手、悪用して、組織内のネットワークに侵入した。

 さらに、組織の認証基盤の「Active Directory」(AD)に侵入し、ADに登録されている資格情報を不正に取得、これを悪用して侵入範囲を広げようとしたが、組織側が講じていたネットワークセグメンテーション制御のセキュリティ対策によって、侵入をブロックされたという。

 重要インフラ組織は、この事象をCitrixと7月にはCISAへ報告。Citrixが修正パッチなどを緊急に開発して、18日に対策方法をリリースした。CISAも20日付で「MITRE ATT&CK」に基づく攻撃の分析情報を公開している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
RPAに企業の統合管理やAI活用を実装–Blue Prismが戦略発表
IT関連
2021-03-12 03:07
ロボットの発話に「重み」を加えるとイライラするユーザーに許しの気持ちが芽生える
IT関連
2022-03-05 09:13
Google、Apple、Twitterなどが加盟するAIC、香港当局のデータ法改定に「サービス停止の可能性」と警告
企業・業界動向
2021-07-07 10:34
「重なっても影ができない」プロジェクションマッピング 東工大が開発 :Innovative Tech
イラスト・デザイン
2021-01-29 05:26
電動トラックメーカーNikolaの創業者ミルトン氏、詐欺容疑で起訴
モビリティ
2021-07-31 07:35
JR東、「みどりの窓口」7割削減へ Suica普及などでニーズ減る
企業・業界動向
2021-05-12 01:35
ついに「PS5」を手に入れた漫画家、設定で色々やらかす :サダタローのシェアさせていただきますR(1/4 ページ)
くらテク
2021-05-31 21:32
GitHub CEO トーマス・ドムケ氏が来日。いずれコードの80%がAIで作成されるようになると予言
GitHub
2022-12-07 22:47
2023年版「情報セキュリティ10大脅威」、首位はランサムウェアとフィッシング
IT関連
2023-01-27 05:14
「モードシフト」–新たな中期経営計画を始動した日立の狙い
IT関連
2022-05-03 13:11
ダイバーシティとインクルージョンの促進に注力する投資会社Kapor Capitalが約133億円調達
パブリック / ダイバーシティ
2021-03-02 17:13
バカン、オフィス向けコミュニケーション促進サービス「Keeple」をNTT東日本の本社オフィスに提供開始
IT関連
2022-02-05 12:39
Bumbleの新規上場について、2021年2月第1週の注目すべき話題
その他
2021-02-23 19:17
LANケーブル1本で「ラズパイ」の通信と給電をまかなうアドオンボードに新製品 30W出力でラズパイ4でも安定動作
企業・業界動向
2021-05-26 20:34