ハッカーが米国の重要インフラを標的にしたCitrixのゼロデイ脆弱性：数千の企業がリスクに直面

要約

1. 1. 数千の企業が、すでにハッカーによって米国の重要インフラ組織を標的にされているCitrixのゼロデイ（未知の脆弱性）からリスクを被る可能性があります。

2. Citrixは先週、重大な評価を受けたこの欠陥（CVE-2023-3519、重大度評価は10点中9.8）について警鐘を鳴らしました。この欠陥はNetScaler ADCとNetScaler Gatewayデバイスに影響を及ぼします。

3. これらの製品は、セキュアなアプリケーション配信とVPN接続を提供するために設計されており、特に重要インフラ組織内で広く使用されています。

4. Citrixは、このゼロデイが認証されていないリモート攻撃者にデバイス上で任意のコードを実行する可能性を許すと警告し、この脆弱性が野生で悪用された証拠があると述べています。

5. Citrixは7月18日にこの脆弱性に対するセキュリティアップデートをリリースし、顧客に対してできるだけ早くパッチをインストールするよう促しています。

6. Citrixの警告の数日後、米国のサイバーセキュリティ機関CISAは、この脆弱性が6月に米国の重要インフラ組織に対して悪用され、7月初めに機関に報告されたと明らかにしました。

7. CISAによれば、ハッカーはこの欠陥を悪用して組織のNetScaler ADCアプライアンスにウェブシェルを落とし、組織のActive Directoryからデータを収集し、ネットワーク上のユーザー、グループ、アプリケーション、デバイスに関する情報を抽出しました。

8. しかし、標的とされたアプライアンスが組織のネットワーク内で隔離されていたため、ハッカーは横移動してドメインコントローラを侵害することはできませんでした。

9. この組織はシステムを標的にしたハッカーをうまく防ぐことができましたが、他の数千の組織がリスクにさらされている可能性があります。

10. インターネットをより安全にするために活動している非営利組織であるShadowserver Foundationは、パッチが適用されない限り、全世界で15,000以上のCitrixサーバーが侵害のリスクにさらされていると発見しました。

11. 未パッチのサーバーの最大数は米国（5,700台）、次いでドイツ（1,500台）、英国（1,000台）、オーストラリア（582台）です。

12. この脆弱性の悪用者が誰であるかはまだ明らかにされていませんが、Citrixの脆弱性は金銭的な動機を持つサイバー犯罪者や国家支援の脅威アクター、中国と関連のあるグループによって悪用されることが知られています。

13. Mandiantの研究者は、侵入を任意の脅威グループに帰属することはまだできないと述べつつ、この活動は「2022年のCitrix ADCに対する行動と既知の能力に基づいて、中国との関連を持つアクターによる以前の作戦と一致している」と指摘しています。

14. Mandiantは、侵入が情報収集キャンペーンの一部である可能性が高く、スパイ活動を目的とした脅威アクターがエンドポイント検出および対応ソリューションをサポートしない技術を引き続き標的にしていると述べています。