-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2023-0026
                                                             JPCERT/CC
                                                     2023-10-20（公開）
                                                     2023-11-21（更新）

                <<< JPCERT/CC Alert 2023-10-20 >>>

Citrix ADCおよびCitrix Gatewayの脆弱性（CVE-2023-4966）に関する注意喚起

            https://www.jpcert.or.jp/at/2023/at230026.html


I. 概要
2023年10月10日（現地時間）、CitrixはCitrix NetScaler ADC（Citrix ADC）
およびNetScaler Gateway（Citrix Gateway）における脆弱性（CVE-2023-4966、
CVE-2023-4967）に関する情報を公開しました。本脆弱性が悪用されると、認
証されていない遠隔の第三者が、認証を回避して機密情報を取得するなどの可
能性があります。

    Citrix
    NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967
    https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967

これらの脆弱性の内、情報漏えいの脆弱性（CVE-2023-4966）について、Citrix
は脆弱性を悪用する攻撃を確認しているとのことです。影響を受ける製品を利
用している場合、Citrixが提供する最新の情報や関連情報をご確認の上、速や
かに対策の適用などをご検討ください。


II. 対象
対象となる製品およびバージョンは次のとおりです。

  - NetScaler ADCおよびNetScaler Gateway 14.1-8.50より前の14.1系のバージョン
  - NetScaler ADCおよびNetScaler Gateway 13.1-49.15より前の13.1系のバージョン
  - NetScaler ADCおよびNetScaler Gateway 13.0-92.19より前の13系のバージョン
  - NetScaler ADC 13.1-FIPS 13.1-37.164より前の13.1-FIPS系のバージョン
  - NetScaler ADC 12.1-FIPS 12.1-55.300より前の12.1-FIPS系のバージョン
  - NetScaler ADC 12.1-NDcPP 12.1-55.300より前の12.1-NDcPP系のバージョン

同製品がゲートウェイ（VPN仮想サーバー、ICA Proxy、CVPN、RDP Proxy）か
AAA仮想サーバーとして設定されている場合に本脆弱性の影響を受けます。

なお、すでにEOLを迎えているNetScaler ADCおよびNetScaler Gateway 12.1系
も本脆弱性の影響を受けることから、Citrixはサポート対象のバージョンへ
のアップデートを推奨しています。


III. 対策
Citrixから本脆弱性を修正したバージョンへのアップグレードが推奨されてい
ます。修正済みバージョンの適用をご検討ください。

  - NetScaler ADCおよびNetScaler Gateway 14.1-8.50あるいはそれ以降
  - NetScaler ADCおよびNetScaler Gateway 13.1-49.15あるいはそれ以降
  - NetScaler ADCおよびNetScaler Gateway 13.0-92.19あるいはそれ以降の13.0系のバージョン
  - NetScaler ADC 13.1-FIPS 13.1-37.164あるいはそれ以降の13.1-FIPS系のバージョン
  - NetScaler ADC 12.1-FIPS 12.1-55.300あるいはそれ以降の12.1-FIPS系のバージョン
  - NetScaler ADC 12.1-NDcPP 12.1-55.300あるいはそれ以降の12.1-NDcPP系のバージョン

** 更新: 2023年11月21日追記 *******************************************
2023年10月23日および11月20日（現地時間）、Cloud Software Groupは情報漏
えいの脆弱性（CVE-2023-4966）に関するブログを公開しました。同脆弱性への
対策として、修正バージョンの適用に加え、アクティブセッションを削除する
ことが推奨されています。また、脆弱性を悪用する攻撃の被害有無を調査する
場合の推奨事項が紹介されています。

    Cloud Software Group
    CVE-2023-4966: Critical security update now available for NetScaler ADC and NetScaler Gateway
    https://www.netscaler.com/blog/news/cve-2023-4966-critical-security-update-now-available-for-netscaler-adc-and-netscaler-gateway/

    Cloud Software Group
    NetScaler investigation recommendations for CVE-2023-4966
    https://www.netscaler.com/blog/news/netscaler-investigation-recommendations-for-cve-2023-4966/
***********************************************************************


IV. 攻撃に関する情報
2023年10月17日（現地時間）、Mandiantは脆弱性（CVE-2023-4966）を悪用す
る活動に関するブログを公開しています。脆弱性への対策実施前にセッション
データが窃取され、脆弱性対策後でも侵入されるケースを確認しているとのこ
とで、対策実施に加えて調査やセッションリセットなどの対処の実施を推奨し
ています。

    Mandiant
    Remediation for Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966)
    https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966

** 更新: 2023年11月21日追記 *******************************************
2023年10月31日（現地時間）、Mandiantは脆弱性（CVE-2023-4966）を悪用する
攻撃の被害有無を調査するためにログやメモリを分析する方法や、同社が確認し
た脆弱性悪用後の攻撃活動を紹介する記事を公開しています。

    Mandiant
    Investigation of Session Hijacking via Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966)
    https://www.mandiant.com/resources/blog/session-hijacking-citrix-cve-2023-4966
***********************************************************************


V. 関連情報
2023年7月には、同製品のリモートコード実行の脆弱性（CVE-2023-3519）が修
正され、同脆弱性を悪用する攻撃は国内でも観測されていました。同脆弱性へ
の対策や調査も実施できているか、改めてご確認いただくことを推奨します。

    JPCERT/CC
    Citrix ADCおよびCitrix Gatewayの脆弱性（CVE-2023-3519）に関する注意喚起
    https://www.jpcert.or.jp/at/2023/at230013.html

また、こうした脆弱性を悪用する攻撃の影響を緩和するため、同製品へのアク
セスのIPアドレス制限や、アクセスログの記録設定の確認や保全をご検討いた
だくことを推奨します。


VI. 参考情報
    Bleeping Computer
    Recently patched Citrix NetScaler bug exploited as zero-day since August
    https://www.bleepingcomputer.com/news/security/recently-patched-citrix-netscaler-bug-exploited-as-zero-day-since-august/


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2023-10-20 公開
2023-11-21 「III. 対策」および「IV. 攻撃に関する情報」を更新

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJlXA+6AAoJEDoQgdvpn3qqJgsP/jZDOCvvrRerlW6dlVRG84Uy
/TGbBa70LP0VjK2prsu3gb74Vyuk+n5uqGQrrRFp64JukbU792jgVLY1+kckVYoT
yq8X+ErRVxi8dLUZi1g0krsewRNo9tF3any9Cd6kEof2f8QsGe1TPyHpA+XeRd/O
ep1gAycPHAy061eKqjlJ5A1OAtkJ0w2uR5F4JWPN0gsNWHi5y0VH0Bh6Tg5RoUtf
/IO+CVm27aWr/y8JADOe+8EaZ5MSEhJ2ILtPwlDtUU2FdoE/taFxY804n8VY2s0g
XDCiIbDsYSdz7vRA1pi+Syexw4opyJA9SChRiinFCNI8ed0elcwUTKcQsv72yY9b
z50hAb8Cl4+Xjcb2WjDvOkAjMR1nvr8tkuydmbbqQW1KBg2XIym4HLLZ83CNGeq4
C3gIbsn39ha+VNVV/1ZsCmXSz4x2BnIMAaufLdKLFNRLP98cCSLIzSDn2wlEsbUW
c7H9WjuuKut8Yc/kyNsRLuT7MuFD8Ws12z+0zM7OsCsmAKJjVSraz49Te3xCfKW3
y2viOqu1MET2IJG0e1VJtACDD+JRE80euli+ex6Wo1Ip/4rUh/pRuFvtasOrXwQ5
Itji3RZJLrYCfxatHVAdrs7E1PonQKWrOBeo1XyEbOyPHA6LTrQF0C3cwVWbNtmO
8iTJDKCXRfh/33xu+CTx
=wYgh
-----END PGP SIGNATURE-----