シトリックスのネットワーク製品に脆弱性、米CISAが警報発令

今回は「シトリックスのネットワーク製品に脆弱性、米CISAが警報発令」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)は現地時間7月20日、Citrix Systemsのネットワーク製品に存在する脆弱(ぜいじゃく)性を悪用したサイバー攻撃を確認したとして警戒情報を発令した。脆弱性の修正パッチもしくは悪用回避策を早急に適用するよう呼びかけている。

 Citrixによると、アプリケーション配信制御(ADC)製品の「NetScaler ADC」(旧称Citrix ADC)と、SSL VPN製品の「NetScaler Gateway」(同Citrix Gateway)には、認証されていない第三者による遠隔からの任意のコード実行(CVE-2023-3519)と、リフレクテッドクロスサイトスクリプティング(CVE-2023-3466)、root管理者への権限昇格の3件の脆弱性が存在する。

 このうちCVE-2023-3519の脆弱性は、既に悪用攻撃の発生が確認された。Citrixは18日に脆弱性を修正するパッチと脆弱性の悪用による影響を緩和する方法、詳細情報をリリースした。影響を受ける製品のうちバージョン 12.1は、既に同社のサポートが終了しているため、同社がサポートを継続しているバージョンに更新する必要がある。

 CISAによれば、6月に米国の重要インフラ組織でCVE-2023-3519の脆弱性を悪用するサイバー攻撃が発生した。攻撃者は、この組織の本番稼働ではない環境に設置されていたNetScaler ADCのアプライアンスで脆弱性を悪用して不正なウェブシェルを展開。NetScaler ADCの設定情報を入手、悪用して、組織内のネットワークに侵入した。

 さらに、組織の認証基盤の「Active Directory」(AD)に侵入し、ADに登録されている資格情報を不正に取得、これを悪用して侵入範囲を広げようとしたが、組織側が講じていたネットワークセグメンテーション制御のセキュリティ対策によって、侵入をブロックされたという。

 重要インフラ組織は、この事象をCitrixと7月にはCISAへ報告。Citrixが修正パッチなどを緊急に開発して、18日に対策方法をリリースした。CISAも20日付で「MITRE ATT&CK」に基づく攻撃の分析情報を公開している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「ヤフオク!」に商品画像をスワイプして回せる「マルチビュー機能」
最近の注目ニュース
2021-01-17 13:36
「iPhone」のセキュリティに改めて注目–ハイテクとローテクの両方の観点から整備を
IT関連
2023-04-11 19:39
GoogleのArea 120がモバイルアプリ開発者のプライバシーコンプライアンス対応を支援するプロダクト「Checks」を発表
IT関連
2022-02-24 19:53
MS、「OAuth」を悪用した不正アプリによる「同意フィッシング」に警鐘
IT関連
2023-02-03 05:04
【レビュー】「Elden Ring」で私はフロム・ソフトウェアの信者になった
IT関連
2022-03-20 13:02
AIで漫画のキャラを自動着色、作業時間を半分以下に ピクシブとPFNが法人向けに試験提供
イラスト・デザイン
2021-05-29 07:34
マッキンゼーやBCGも注目、自律分散型の「アジャイル組織」とは
IT関連
2021-02-18 20:26
UBE、「SAP S/4HANA Cloud」導入でDX推進を加速–先読み経営へ
IT関連
2024-09-22 09:16
グーグルのCloud Runが確約利用割引を導入しセキュリティ機能を増強
ソフトウェア
2021-05-16 07:05
中小企業もカスタムソフトを構築–クラリスのフライターグCEOが語る、ローコード開発の強み
IT関連
2023-05-26 04:47
電子文書の利用を推進する諸制度の動きとテクノロジー–後編
IT関連
2021-01-25 14:11
TIS、工場のサイバーセキュリティ強化を支援する「OTセキュリティコンサルティングサービス」を提供
IT関連
2024-11-07 23:02
障がい者支援に向けたeラーニングサービスを提供するLean on MeがシリーズAエクステンションとして8050万円を調達
IT関連
2022-03-04 15:52
ドイツ当局がFacebookに対し物議を醸している「WhatsApp」の利用規約を適用しないよう命令
パブリック / ダイバーシティ
2021-05-25 16:25