JPCERT-AT-2020-0003
JPCERT/CC
2020-01-17(新規)
2020-01-27(更新)
本脆弱性について、Bad Packets 社より 2020年1月12日 (現地時間) に、脆弱性の悪用を狙ったとみられるスキャンを確認したとの情報が公開されました。
Bad Packets
Over 25,000 Citrix (NetScaler) endpoints vulnerable to CVE-2019-19781
https://badpackets.net/over-25000-citrix-netscaler-endpoints-vulnerable-to-cve-2019-19781/
JPCERT/CC は、本脆弱性の悪用を目的とすると思われる通信をセンサで観測しており、日本国内でも本脆弱性を悪用したと思われる攻撃が既に行われていることを確認しています。また、JPCERT/CC では、海外の組織などから届けられた情報に基づき、対象の製品を使用しているとみられる組織に通知を行っています。対象の製品を使用している場合、早急に対策を実施することを推奨します。
- Citrix ADC および Citrix Gateway version 13.0
- Citrix ADC および NetScaler Gateway version 12.1
- Citrix ADC および NetScaler Gateway version 12.0
- Citrix ADC および NetScaler Gateway version 11.1
- Citrix NetScaler ADC および NetScaler Gateway version 10.5
- Citrix SD-WAN WANOP software および appliance model 4000
- Citrix SD-WAN WANOP software および appliance model 4100
- Citrix SD-WAN WANOP software および appliance model 5000
- Citrix SD-WAN WANOP software および appliance model 5100
(1) 機器に対して不審な IP アドレスからのアクセスがないか確認する
- 機器に対する HTTP 通信のログは httpaccess.log や httperror.log に
記録されるとのことです。
(2) 機器のログに脆弱性を悪用する通信が記録されていないか確認する
- 本脆弱性を悪用する実証コードを実行した場合、以下のような文字列を含
む通信が機器に対して行われます。
/vpns/
/vpn/../vpns/cfg/smb.conf
/vpn/../vpns/portal/scripts/newbm.pl
/vpn/../vpns/portal/backdoor.xml
/vpns/portal/scripts/newbm.pl
(3) 機器の下記ディレクトリ配下のファイルを確認する
- 最近作成された、心当たりのない xml ファイルが存在する場合、当該ファ
イルは攻撃者により作成された悪意のあるファイルで、既に当該機器を悪
用する攻撃が行われた可能性があります。
/var/tmp/netscaler/portal/templates
/netscaler/portal/templates
(4) 機器のプロセスや cron job を確認する
- 機器でコマンドを実行し、「nobody」というユーザにより稼働しているプ
ロセスや cron job がないか確認する。
- 本脆弱性が悪用されると、「nobody」というユーザによりプロセスなどが
実行されるため、こうしたプロセスなどが稼働している場合は既に当該機
器を悪用する攻撃が行われた可能性があります。
また Citrix 社によると、下記日程で修正バージョンを提供予定とのことです。
- 2020年1月19日(米国時間)
- Citrix ADC および NetScaler Gateway version 12.0
- Citrix ADC および NetScaler Gateway version 11.1
- 2020年1月24日(米国時間)
- Citrix NetScaler ADC および NetScaler Gateway version 10.5
- 2020年1月22日(米国時間)
- Citrix SD-WAN WANOP software および appliance model 4000
- Citrix SD-WAN WANOP software および appliance model 4100
- Citrix SD-WAN WANOP software および appliance model 5000
- Citrix SD-WAN WANOP software および appliance model 5100
- 2020年1月23日(米国時間)
- Citrix ADC および Citrix Gateway version 13.0
- Citrix ADC および NetScaler Gateway version 12.1
- ファイアウォール等による不要な通信の制限
- Citrix 社が公開している設定変更の適用
Citrix
Mitigation Steps for CVE-2019-19781
https://support.citrix.com/article/CTX267679
※Citrix 社の情報によると、Citrix ADC version 12.1 ビルド 51.16,51.19
および 50.31 より前のビルドには不具合があり、緩和策の設定が適用され
ないとのことです。緩和策を適切に適用するために、本不具合の影響を受け
ないビルドに更新することを推奨します。
Citrix
CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance
https://support.citrix.com/article/CTX267027
Japan Vulnerability Notes JVNVU#92281641
Citrix Application Delivery Controller および Citrix Gateway web server における任意のコード実行が可能な脆弱性
https://jvn.jp/vu/JVNVU92281641/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
2020-01-19 「V. 緩和策」の修正
2020-01-20 「IV. 対策」の修正
2020-01-24 「III. 侵害有無の確認」「IV. 対策」の追記
2020-01-27 「IV. 対策」の追記
一般社団法人 JPCERT コーディネーションセンター 早期警戒グループ
TEL: 03-6811-0610 MAIL: ew-info@jpcert.or.jp
JPCERT/CC
2020-01-17(新規)
2020-01-27(更新)
I. 概要
JPCERT/CC では、Citrix Application Delivery Controller および Citrix Gatewayの脆弱性 (CVE-2019-19781) について、脆弱性に対する実証コードなどの詳細な情報が公表されていることを確認しています。本脆弱性を悪用された場合、遠隔の第三者が任意のコードを実行する可能性があります。本脆弱性について、Bad Packets 社より 2020年1月12日 (現地時間) に、脆弱性の悪用を狙ったとみられるスキャンを確認したとの情報が公開されました。
Bad Packets
Over 25,000 Citrix (NetScaler) endpoints vulnerable to CVE-2019-19781
https://badpackets.net/over-25000-citrix-netscaler-endpoints-vulnerable-to-cve-2019-19781/
JPCERT/CC は、本脆弱性の悪用を目的とすると思われる通信をセンサで観測しており、日本国内でも本脆弱性を悪用したと思われる攻撃が既に行われていることを確認しています。また、JPCERT/CC では、海外の組織などから届けられた情報に基づき、対象の製品を使用しているとみられる組織に通知を行っています。対象の製品を使用している場合、早急に対策を実施することを推奨します。
II. 対象
本脆弱性の対象となる製品およびバージョンは次のとおりです。- Citrix ADC および Citrix Gateway version 13.0
- Citrix ADC および NetScaler Gateway version 12.1
- Citrix ADC および NetScaler Gateway version 12.0
- Citrix ADC および NetScaler Gateway version 11.1
- Citrix NetScaler ADC および NetScaler Gateway version 10.5
- Citrix SD-WAN WANOP software および appliance model 4000
- Citrix SD-WAN WANOP software および appliance model 4100
- Citrix SD-WAN WANOP software および appliance model 5000
- Citrix SD-WAN WANOP software および appliance model 5100
III. 侵害有無の確認
本脆弱性の侵害有無を確認する方法は次のとおりです。(1) 機器に対して不審な IP アドレスからのアクセスがないか確認する
- 機器に対する HTTP 通信のログは httpaccess.log や httperror.log に
記録されるとのことです。
(2) 機器のログに脆弱性を悪用する通信が記録されていないか確認する
- 本脆弱性を悪用する実証コードを実行した場合、以下のような文字列を含
む通信が機器に対して行われます。
/vpns/
/vpn/../vpns/cfg/smb.conf
/vpn/../vpns/portal/scripts/newbm.pl
/vpn/../vpns/portal/backdoor.xml
/vpns/portal/scripts/newbm.pl
(3) 機器の下記ディレクトリ配下のファイルを確認する
- 最近作成された、心当たりのない xml ファイルが存在する場合、当該ファ
イルは攻撃者により作成された悪意のあるファイルで、既に当該機器を悪
用する攻撃が行われた可能性があります。
/var/tmp/netscaler/portal/templates
/netscaler/portal/templates
(4) 機器のプロセスや cron job を確認する
- 機器でコマンドを実行し、「nobody」というユーザにより稼働しているプ
ロセスや cron job がないか確認する。
- 本脆弱性が悪用されると、「nobody」というユーザによりプロセスなどが
実行されるため、こうしたプロセスなどが稼働している場合は既に当該機
器を悪用する攻撃が行われた可能性があります。
更新: 2020年1月24日追記
本脆弱性を悪用した攻撃および侵害有無の確認や、侵害が確認された場合の調査において、参考となるような情報やツールが Citrix 社や複数の組織から公開されています。
Citrix
Citrix and FireEye Mandiant share forensic tool for CVE-2019-19781
https://www.citrix.com/blogs/2020/01/22/citrix-and-fireeye-mandiant-share-forensic-tool-for-cve-2019-19781/
Citrix
Indicator of Compromise Scanner for CVE-2019-19781
https://github.com/citrix/ioc-scanner-CVE-2019-19781/
x1sec
Citrix ADC (NetScaler) CVE-2019-19781 DFIR Notes
https://github.com/x1sec/CVE-2019-19781/blob/master/CVE-2019-19781-DFIR.md
InfoSec Handlers Diary Blog
Citrix ADC Exploits Update
https://isc.sans.edu/diary/rss/25724
Citrix
Citrix and FireEye Mandiant share forensic tool for CVE-2019-19781
https://www.citrix.com/blogs/2020/01/22/citrix-and-fireeye-mandiant-share-forensic-tool-for-cve-2019-19781/
Citrix
Indicator of Compromise Scanner for CVE-2019-19781
https://github.com/citrix/ioc-scanner-CVE-2019-19781/
x1sec
Citrix ADC (NetScaler) CVE-2019-19781 DFIR Notes
https://github.com/x1sec/CVE-2019-19781/blob/master/CVE-2019-19781-DFIR.md
InfoSec Handlers Diary Blog
Citrix ADC Exploits Update
https://isc.sans.edu/diary/rss/25724
IV. 対策
2020年1月17日現在、Citrix 社から修正済みのバージョンは提供されていません。「V. 緩和策」の実施、または当該製品の使用停止を検討してください。また Citrix 社によると、下記日程で修正バージョンを提供予定とのことです。
- 2020年1月19日(米国時間)
- Citrix ADC および NetScaler Gateway version 12.0
- Citrix ADC および NetScaler Gateway version 11.1
- 2020年1月24日(米国時間)
- Citrix NetScaler ADC および NetScaler Gateway version 10.5
更新: 2020年1月20日追記
2020年1月19日 (現地時間)、Citrix 社が修正バージョン提供の日程を更新したため、内容を更新いたしました。
- 2020年1月22日(米国時間)
- Citrix SD-WAN WANOP software および appliance model 4000
- Citrix SD-WAN WANOP software および appliance model 4100
- Citrix SD-WAN WANOP software および appliance model 5000
- Citrix SD-WAN WANOP software および appliance model 5100
- 2020年1月23日(米国時間)
- Citrix ADC および Citrix Gateway version 13.0
- Citrix ADC および NetScaler Gateway version 12.1
更新: 2020年1月24日追記
2020年1月22日、23日 (現地時間)、Citrix 社が Citrix SD-WAN WANOP software および appliance、Citrix ADC および Citrix Gateway /NetScaler Gateway に関する修正バージョン提供の日程を更新したため、内容を更新いたしました。
更新: 2020年1月27日追記
2020年1月24日 (現地時間)、Citrix NetScaler ADC および NetScaler Gateway version 10.5 における修正バージョンが公開され、本脆弱性に対する修正バージョンが全て公開されました。本脆弱性を悪用した攻撃は引き続き観測されているため、速やかに対策の適用と侵害有無の確認を実施することを推奨します。
V. 緩和策
次の緩和策の実施を検討してください。- ファイアウォール等による不要な通信の制限
- Citrix 社が公開している設定変更の適用
Citrix
Mitigation Steps for CVE-2019-19781
https://support.citrix.com/article/CTX267679
※Citrix 社の情報によると、Citrix ADC version 12.1 ビルド 51.16,51.19
および 50.31 より前のビルドには不具合があり、緩和策の設定が適用され
ないとのことです。緩和策を適切に適用するために、本不具合の影響を受け
ないビルドに更新することを推奨します。
更新: 2020年1月19日追記
2020年1月17日 (現地時間)、Citrix 社は次の通り不具合に関する情報を更新しました。
Citrix ADC および Citrix Gateway version 12.1 のビルド 50.28 には不具合があり、緩和策の設定が適用されないとのことです。緩和策を適切に適用するために、以下のどちらかの対応を推奨しています。
- Citrix ADC および Citrix Gateway version 12.1 のビルドを 50.28 / 50.31 より新しいビルドに更新する
- CTX267679 で公開されている緩和策を管理インターフェースに対して適用する
Citrix ADC および Citrix Gateway version 12.1 のビルド 50.28 には不具合があり、緩和策の設定が適用されないとのことです。緩和策を適切に適用するために、以下のどちらかの対応を推奨しています。
- Citrix ADC および Citrix Gateway version 12.1 のビルドを 50.28 / 50.31 より新しいビルドに更新する
- CTX267679 で公開されている緩和策を管理インターフェースに対して適用する
VI. 参考情報
Citrix
CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance
https://support.citrix.com/article/CTX267027
Japan Vulnerability Notes JVNVU#92281641
Citrix Application Delivery Controller および Citrix Gateway web server における任意のコード実行が可能な脆弱性
https://jvn.jp/vu/JVNVU92281641/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
改訂履歴
2020-01-17 初版2020-01-19 「V. 緩和策」の修正
2020-01-20 「IV. 対策」の修正
2020-01-24 「III. 侵害有無の確認」「IV. 対策」の追記
2020-01-27 「IV. 対策」の追記
一般社団法人 JPCERT コーディネーションセンター 早期警戒グループ
TEL: 03-6811-0610 MAIL: ew-info@jpcert.or.jp