シトリックスのネットワーク製品に脆弱性、米CISAが警報発令

今回は「シトリックスのネットワーク製品に脆弱性、米CISAが警報発令」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)は現地時間7月20日、Citrix Systemsのネットワーク製品に存在する脆弱(ぜいじゃく)性を悪用したサイバー攻撃を確認したとして警戒情報を発令した。脆弱性の修正パッチもしくは悪用回避策を早急に適用するよう呼びかけている。

 Citrixによると、アプリケーション配信制御(ADC)製品の「NetScaler ADC」(旧称Citrix ADC)と、SSL VPN製品の「NetScaler Gateway」(同Citrix Gateway)には、認証されていない第三者による遠隔からの任意のコード実行(CVE-2023-3519)と、リフレクテッドクロスサイトスクリプティング(CVE-2023-3466)、root管理者への権限昇格の3件の脆弱性が存在する。

 このうちCVE-2023-3519の脆弱性は、既に悪用攻撃の発生が確認された。Citrixは18日に脆弱性を修正するパッチと脆弱性の悪用による影響を緩和する方法、詳細情報をリリースした。影響を受ける製品のうちバージョン 12.1は、既に同社のサポートが終了しているため、同社がサポートを継続しているバージョンに更新する必要がある。

 CISAによれば、6月に米国の重要インフラ組織でCVE-2023-3519の脆弱性を悪用するサイバー攻撃が発生した。攻撃者は、この組織の本番稼働ではない環境に設置されていたNetScaler ADCのアプライアンスで脆弱性を悪用して不正なウェブシェルを展開。NetScaler ADCの設定情報を入手、悪用して、組織内のネットワークに侵入した。

 さらに、組織の認証基盤の「Active Directory」(AD)に侵入し、ADに登録されている資格情報を不正に取得、これを悪用して侵入範囲を広げようとしたが、組織側が講じていたネットワークセグメンテーション制御のセキュリティ対策によって、侵入をブロックされたという。

 重要インフラ組織は、この事象をCitrixと7月にはCISAへ報告。Citrixが修正パッチなどを緊急に開発して、18日に対策方法をリリースした。CISAも20日付で「MITRE ATT&CK」に基づく攻撃の分析情報を公開している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
NECとTOPPANデジタル、茅野市で地域通貨を顔認証で決済する実証
IT関連
2024-04-02 10:49
明治安田生命、コールセンターなどに寄せられた問い合わせの分類精度を向上
IT関連
2023-05-13 10:56
AIチャットボットの能力を比較評価できる「Chatbot Arena」–ユーザーの判定を反映
IT関連
2023-06-24 17:46
「Internet of Trees」で乾燥地帯で育つ作物の灌漑の必要性を劇的に低減させるSupPlant
IT関連
2022-03-16 10:22
アンビエントコンピューティングとは–IoTとの違いやユースケースなどの基本を解説
IT関連
2022-10-13 18:46
KDDI、データ使い放題で月額6580円の新プラン 大手3社の新無制限プラン出そろう
企業・業界動向
2021-01-14 13:15
米国の2021年第1四半期のPC出荷台数は73%増、Chromebookが好調
ハードウェア
2021-06-10 03:53
不妊治療サポートのFuture Familyが9.8億円調達、コロナ禍で混み合うクリニックのネットワークを拡大
フェムテック
2021-05-26 16:42
“剣盾”のポケモンと主要キャラをすべて歩数計に 計132モデル、タニタが受注生産
くらテク
2021-04-03 21:23
資生堂、従業員エクスペリエンス管理ツールをグローバル全域で導入
IT関連
2022-06-04 18:10
後払い決済のアトミ、日本に進出–客単価向上や新規顧客増加をアピール
IT関連
2022-07-08 21:37
eコマースのグローバルな荷物追跡プラットフォームを提供する香港AfterShipが71.2円調達
ネットサービス
2021-04-25 14:56
AI導入で労働者の40%はリスキリングが必要–IBM調査
IT関連
2023-08-22 07:18
TikTokがTwitter、Instagramに続き有料サブスク導入を限定テスト、クリエイターの収益化の道を探る
IT関連
2022-01-22 00:47