悪用されるCitrix

Citrix製品の脆弱性対策がされたバージョンが提供開始されています。

• 対象製品
  NetScaler ADCとNetScaler Gatewayが対象です。
  利用したことがある人でも聞きなれない製品名称かもしれません。
  これらは製品名の変更があった製品で、いずれも変更前の名称は、Citrix ADCとCitrix Gatewayでした。
  ADCのほうはいわゆるサーバロードバランスを実現する製品です。
  いろいろな機能がありますが、サーバを冗長化させたりセキュリティ機能を追加したりといった効能を提供できる製品です。
  Gatewayのほうは、いわゆるSSL-VPNを実現する製品です。

   

• CVE-2023-3519
  最近のパッチで対策されている脆弱性の一つです。
  CVSSのBaseスコアが9.8です。
  認証を必要とすることなくリモートからコードの実行が可能になってしまう問題です。
  この脆弱性は実際に悪用している事例が確認されているものです。

   

• CVE-2023-3466
  最近のパッチで対策されている脆弱性の一つです。
  CVSSのBaseスコアが8.3です。
  この脆弱性はクロスサイトスクリプティングを可能としてしまいます。
  被害者が攻撃者からのリンクをブラウザにロードし、脆弱なアプライアンスが同じネットワークからアクセスできる場合に悪用される可能性があります。

   

• CVE-2023-3467
  最近のパッチで対策されている脆弱性の一つです。
  CVSSのBaseスコアが8です。
  この脆弱性は特権昇格を可能としてしまいます。
  管理インターフェイスへの認証されたアクセスが可能な場合、ルート管理者（nsroot）に昇格できてしまう可能性があります。

特に、一番CVSSスコアの高いCVE-2023-3519においては、Citrix製品の脆弱性が悪用されている事例が観測されています。
それぞれの単独の脆弱性の悪用でも予期しない利用がなされてしまう可能性がありますが、複数を組み合わせることでより大きな問題となってしまう可能性があるものと考えられます。
脆弱性の対象製品は広いですが、なかにはサポートが終了となっているものも含まれます。
そういったものを使っている場合には、サポートされているバージョンに移行する必要があります。

こういった脆弱性対応の一環で大きなバージョンの変更を実施することは負担を伴います。
メジャーバージョンが変化するような大きなバージョンの変更については、日常の運用の中で脆弱性対策とは切り離して計画的に実行していくようにしたいものです。

参考記事（外部リンク）：Citrix ADC and Citrix Gateway Security Bulletin for
CVE-2023-3519, CVE-2023-3466, CVE-2023-3467
support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467