-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2023-0013
                                                             JPCERT/CC
                                                     2023-07-19（新規）
                                                     2023-10-11（更新）

                <<< JPCERT/CC Alert 2023-07-19 >>>

Citrix ADCおよびCitrix Gatewayの脆弱性（CVE-2023-3519）に関する注意喚起

            https://www.jpcert.or.jp/at/2023/at230013.html


I. 概要
2023年7月18日（現地時間）、CitrixはCitrix NetScaler ADC（Citrix ADC）
およびNetScaler Gateway（Citrix Gateway）における複数の脆弱性に関す
る情報を公開しました。本脆弱性が悪用されると、認証されていない遠隔の
第三者が任意のコードを実行するなどの可能性があります。

    Citrix
    Citrix ADC and Citrix Gateway Security Bulletin for CVE-2023-3519, CVE-2023-3466, CVE-2023-3467
    https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467

これらの脆弱性の内、リモートコード実行の脆弱性（CVE-2023-3519）について、
Citrixは脆弱性を悪用する攻撃を確認しているとのことです。影響を受ける製
品を利用している場合、Citrixが提供する最新の情報や関連情報をご確認の上、
速やかに対策の適用などをご検討ください。


II. 対象
対象となる製品およびバージョンは次のとおりです。

  - NetScaler ADCおよびNetScaler Gateway 13.1-49.13より前の13.1系のバージョン
  - NetScaler ADCおよびNetScaler Gateway 13.0-91.13より前の13系のバージョン
  - NetScaler ADC 13.1-FIPS 13.1-37.159より前の13.1-FIPS系のバージョン
  - NetScaler ADC 12.1-FIPS 12.1-55.297より前の12.1-FIPS系のバージョン
  - NetScaler ADC 12.1-NDcPP 12.1-55.297より前の12.1-NDcPP系のバージョン

なお、すでにEOLを迎えているNetScaler ADCおよびNetScaler Gateway 12.1系
も本脆弱性の影響を受けることから、Citrixはサポート対象のバージョンへ
のアップデートを推奨しています。

また、脆弱性により影響を受ける条件が異なります。リモートコード実行の脆
弱性（CVE-2023-3519）の場合、同製品がゲートウェイ（VPN仮想サーバー、
ICA Proxy、CVPN、RDP Proxy）かAAA仮想サーバーとして設定されている場合
に影響を受けます。設定についてはCitrixの情報をご確認ください。


III. 対策
Citrixから本脆弱性を修正したバージョンへのアップグレードが推奨されてい
ます。修正済みバージョンの適用をご検討ください。

  - NetScaler ADCおよびNetScaler Gateway 13.1-49.13あるいはそれ以降
  - NetScaler ADCおよびNetScaler Gateway 13.0-91.13あるいはそれ以降の13.0系のバージョン
  - NetScaler ADC 13.1-FIPS 13.1-37.159あるいはそれ以降の13.1-FIPS系のバージョン
  - NetScaler ADC 12.1-FIPS 12.1-55.297あるいはそれ以降の12.1-FIPS系のバージョン
  - NetScaler ADC 12.1-NDcPP 12.1-55.297あるいはそれ以降の12.1-NDcPP系のバージョン


IV. 関連情報
2023年7月20日（現地時間）、米CISAが脆弱性（CVE-2023-3519）を悪用する攻
撃に関するアラートを公開しました。同年6月に同脆弱性を悪用してWebシェル
が設置された事案で、同製品の設定ファイルの読み取りやAD資格情報の窃取な
どが行われていたことが確認されています。

攻撃の被害を受けた可能性を示す痕跡を検出するため、同製品内のファイルの
状況やログを調査する場合の方法やコマンド例が、DETECTION METHODSとして紹
介されています。

    CISA
    Threat Actors Exploiting Citrix CVE-2023-3519 to Implant Webshells
    https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a

2023年8月14日（現地時間）、Mandiantは脆弱性（CVE-2023-3519）を悪用する
活動に関するブログを公開し、脆弱性を悪用する既知の攻撃の被害を受けた可
能性を示す痕跡を確認するスクリプトをGitHubで公開しています。脆弱性への
対策実施前に侵害されていた場合はマルウェアなどは削除されていないため、
対策実施に加えて調査の実施を推奨しています。

    Mandiant
    Indicators of Compromise Scanner for Citrix ADC Zero-Day (CVE-2023-3519)
    https://www.mandiant.com/resources/blog/citrix-adc-vulnerability-ioc-scanner


V. 攻撃に関する情報
2023年8月15日（現地時間）、Fox-ITは同脆弱性を悪用する攻撃活動に関する
情報を公開し、パッチが適用されたシステムでもバックドアが残っているケー
スがあると指摘しています。同脆弱性についてはパッチ適用の時期に関わらず
侵害有無の調査を実施することが推奨されています。

    Fox-IT
    Approximately 2000 Citrix NetScalers backdoored in mass-exploitation campaign
    https://blog.fox-it.com/2023/08/15/approximately-2000-citrix-netscalers-backdoored-in-mass-exploitation-campaign/

** 更新: 2023年10月11日追記 *******************************************
2023年10月6日（現地時間）、IBM X-Forceは同脆弱性を悪用して同製品の認証
ログインページを改ざんする攻撃活動に関する情報を公開しました。改ざんさ
れたログインページでは悪性なJavaScriptがリモートから読み込まれ、ページ
のフォームに入力されたユーザー資格情報が攻撃者のサーバーに送信されます。

    IBM X-Force
    X-Force uncovers global NetScaler Gateway credential harvesting campaign
    https://securityintelligence.com/posts/x-force-uncovers-global-netscaler-gateway-credential-harvesting-campaign/

JPCERT/CCは外部組織からの情報提供に基づき、8月以降に本脆弱性を悪用した
攻撃の被害を受けた可能性がある国内のホストの管理者へ、情報提供を行って
います。本脆弱性への対策および侵害有無の調査を速やかに実施されることを
推奨します。
***********************************************************************


VI. 参考情報
    Bleeping Computer
    New critical Citrix ADC and Gateway flaw exploited as zero-day
    https://www.bleepingcomputer.com/news/security/new-critical-citrix-adc-and-gateway-flaw-exploited-as-zero-day/


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2023-07-19 初版
2023-07-21 「IV. 関連情報」を追記
2023-08-16 「IV. 関連情報」に情報を追記
2023-10-11 「V. 攻撃に関する情報」を追記、一部内容の構成を変更

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=cdnT
-----END PGP SIGNATURE-----