JPCERT-AT-2023-0026
JPCERT/CC
2023-10-20(公開)
2023-11-21(更新)
Citrix
NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967
https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
これらの脆弱性の内、情報漏えいの脆弱性(CVE-2023-4966)について、Citrixは脆弱性を悪用する攻撃を確認しているとのことです。影響を受ける製品を利用している場合、Citrixが提供する最新の情報や関連情報をご確認の上、速やかに対策の適用などをご検討ください。
- NetScaler ADCおよびNetScaler Gateway 14.1-8.50より前の14.1系のバージョン
- NetScaler ADCおよびNetScaler Gateway 13.1-49.15より前の13.1系のバージョン
- NetScaler ADCおよびNetScaler Gateway 13.0-92.19より前の13系のバージョン
- NetScaler ADC 13.1-FIPS 13.1-37.164より前の13.1-FIPS系のバージョン
- NetScaler ADC 12.1-FIPS 12.1-55.300より前の12.1-FIPS系のバージョン
- NetScaler ADC 12.1-NDcPP 12.1-55.300より前の12.1-NDcPP系のバージョン
同製品がゲートウェイ(VPN仮想サーバー、ICA Proxy、CVPN、RDP Proxy)かAAA仮想サーバーとして設定されている場合に本脆弱性の影響を受けます。
なお、すでにEOLを迎えているNetScaler ADCおよびNetScaler Gateway 12.1系も本脆弱性の影響を受けることから、Citrixはサポート対象のバージョンへのアップデートを推奨しています。
- NetScaler ADCおよびNetScaler Gateway 14.1-8.50あるいはそれ以降
- NetScaler ADCおよびNetScaler Gateway 13.1-49.15あるいはそれ以降
- NetScaler ADCおよびNetScaler Gateway 13.0-92.19あるいはそれ以降の13.0系のバージョン
- NetScaler ADC 13.1-FIPS 13.1-37.164あるいはそれ以降の13.1-FIPS系のバージョン
- NetScaler ADC 12.1-FIPS 12.1-55.300あるいはそれ以降の12.1-FIPS系のバージョン
- NetScaler ADC 12.1-NDcPP 12.1-55.300あるいはそれ以降の12.1-NDcPP系のバージョン
Mandiant
Remediation for Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966)
https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966
JPCERT/CC
Citrix ADCおよびCitrix Gatewayの脆弱性(CVE-2023-3519)に関する注意喚起
https://www.jpcert.or.jp/at/2023/at230013.html
また、こうした脆弱性を悪用する攻撃の影響を緩和するため、同製品へのアクセスのIPアドレス制限や、アクセスログの記録設定の確認や保全をご検討いただくことを推奨します。
Bleeping Computer
Recently patched Citrix NetScaler bug exploited as zero-day since August
https://www.bleepingcomputer.com/news/security/recently-patched-citrix-netscaler-bug-exploited-as-zero-day-since-august/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
2023-11-21 「III. 対策」および「IV. 攻撃に関する情報」を更新
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2023-10-20(公開)
2023-11-21(更新)
I. 概要
2023年10月10日(現地時間)、CitrixはCitrix NetScaler ADC(Citrix ADC)およびNetScaler Gateway(Citrix Gateway)における脆弱性(CVE-2023-4966、CVE-2023-4967)に関する情報を公開しました。本脆弱性が悪用されると、認証されていない遠隔の第三者が、認証を回避して機密情報を取得するなどの可能性があります。Citrix
NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967
https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
これらの脆弱性の内、情報漏えいの脆弱性(CVE-2023-4966)について、Citrixは脆弱性を悪用する攻撃を確認しているとのことです。影響を受ける製品を利用している場合、Citrixが提供する最新の情報や関連情報をご確認の上、速やかに対策の適用などをご検討ください。
II. 対象
対象となる製品およびバージョンは次のとおりです。- NetScaler ADCおよびNetScaler Gateway 14.1-8.50より前の14.1系のバージョン
- NetScaler ADCおよびNetScaler Gateway 13.1-49.15より前の13.1系のバージョン
- NetScaler ADCおよびNetScaler Gateway 13.0-92.19より前の13系のバージョン
- NetScaler ADC 13.1-FIPS 13.1-37.164より前の13.1-FIPS系のバージョン
- NetScaler ADC 12.1-FIPS 12.1-55.300より前の12.1-FIPS系のバージョン
- NetScaler ADC 12.1-NDcPP 12.1-55.300より前の12.1-NDcPP系のバージョン
同製品がゲートウェイ(VPN仮想サーバー、ICA Proxy、CVPN、RDP Proxy)かAAA仮想サーバーとして設定されている場合に本脆弱性の影響を受けます。
なお、すでにEOLを迎えているNetScaler ADCおよびNetScaler Gateway 12.1系も本脆弱性の影響を受けることから、Citrixはサポート対象のバージョンへのアップデートを推奨しています。
III. 対策
Citrixから本脆弱性を修正したバージョンへのアップグレードが推奨されています。修正済みバージョンの適用をご検討ください。- NetScaler ADCおよびNetScaler Gateway 14.1-8.50あるいはそれ以降
- NetScaler ADCおよびNetScaler Gateway 13.1-49.15あるいはそれ以降
- NetScaler ADCおよびNetScaler Gateway 13.0-92.19あるいはそれ以降の13.0系のバージョン
- NetScaler ADC 13.1-FIPS 13.1-37.164あるいはそれ以降の13.1-FIPS系のバージョン
- NetScaler ADC 12.1-FIPS 12.1-55.300あるいはそれ以降の12.1-FIPS系のバージョン
- NetScaler ADC 12.1-NDcPP 12.1-55.300あるいはそれ以降の12.1-NDcPP系のバージョン
更新: 2023年11月21日追記
2023年10月23日および11月20日(現地時間)、Cloud Software Groupは情報漏えいの脆弱性(CVE-2023-4966)に関するブログを公開しました。同脆弱性への対策として、修正バージョンの適用に加え、アクティブセッションを削除することが推奨されています。また、脆弱性を悪用する攻撃の被害有無を調査する場合の推奨事項が紹介されています。
Cloud Software Group
CVE-2023-4966: Critical security update now available for NetScaler ADC and NetScaler Gateway
https://www.netscaler.com/blog/news/cve-2023-4966-critical-security-update-now-available-for-netscaler-adc-and-netscaler-gateway/
Cloud Software Group
NetScaler investigation recommendations for CVE-2023-4966
https://www.netscaler.com/blog/news/netscaler-investigation-recommendations-for-cve-2023-4966/
Cloud Software Group
CVE-2023-4966: Critical security update now available for NetScaler ADC and NetScaler Gateway
https://www.netscaler.com/blog/news/cve-2023-4966-critical-security-update-now-available-for-netscaler-adc-and-netscaler-gateway/
Cloud Software Group
NetScaler investigation recommendations for CVE-2023-4966
https://www.netscaler.com/blog/news/netscaler-investigation-recommendations-for-cve-2023-4966/
IV. 攻撃に関する情報
2023年10月17日(現地時間)、Mandiantは脆弱性(CVE-2023-4966)を悪用する活動に関するブログを公開しています。脆弱性への対策実施前にセッションデータが窃取され、脆弱性対策後でも侵入されるケースを確認しているとのことで、対策実施に加えて調査やセッションリセットなどの対処の実施を推奨しています。Mandiant
Remediation for Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966)
https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966
更新: 2023年11月21日追記
2023年10月31日(現地時間)、Mandiantは脆弱性(CVE-2023-4966)を悪用する攻撃の被害有無を調査するためにログやメモリを分析する方法や、同社が確認した脆弱性悪用後の攻撃活動を紹介する記事を公開しています。
Mandiant
Investigation of Session Hijacking via Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966)
https://www.mandiant.com/resources/blog/session-hijacking-citrix-cve-2023-4966
Mandiant
Investigation of Session Hijacking via Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966)
https://www.mandiant.com/resources/blog/session-hijacking-citrix-cve-2023-4966
V. 関連情報
2023年7月には、同製品のリモートコード実行の脆弱性(CVE-2023-3519)が修正され、同脆弱性を悪用する攻撃は国内でも観測されていました。同脆弱性への対策や調査も実施できているか、改めてご確認いただくことを推奨します。JPCERT/CC
Citrix ADCおよびCitrix Gatewayの脆弱性(CVE-2023-3519)に関する注意喚起
https://www.jpcert.or.jp/at/2023/at230013.html
また、こうした脆弱性を悪用する攻撃の影響を緩和するため、同製品へのアクセスのIPアドレス制限や、アクセスログの記録設定の確認や保全をご検討いただくことを推奨します。
VI. 参考情報
Bleeping Computer
Recently patched Citrix NetScaler bug exploited as zero-day since August
https://www.bleepingcomputer.com/news/security/recently-patched-citrix-netscaler-bug-exploited-as-zero-day-since-august/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
改訂履歴
2023-10-20 公開2023-11-21 「III. 対策」および「IV. 攻撃に関する情報」を更新
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
