CVE-2023-4966：Citrix NetScaler 上の情報漏えいを引き起こす脆弱性の悪用

特に、このメモリにはセッショントークンが含まれているため、攻撃者は他の認証済みユーザーになりすますことができます。10月17日、Citrixはアドバイザリを更新し、悪用が確認されたことを明らかにしました。米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局（CISA）もまた、CVE-2023-4966をKnown Exploited Vulnerabilities（KEV）カタログに追加しています。

2023年10月25日、セキュリティ企業のAssetnoteが、セッショントークンを盗む方法を示す概念実証（PoC）を含む分析を発表しました。それ以来、Shadowserverはそのエンドポイントに対するスキャンの増加を指摘しています。Rapid7 Rapid7 MDRチームはは、ご契約のお客様の環境でこの脆弱性の悪用を調査していますが、CVE-2023-4966が最初のアクセスベクターである侵害はまだ確認されていません。

Rapid7 は、CVE-2023-4966 を緩和するための緊急措置を取ることを推奨します。ランサムウェアグループを含む脅威アクターは、歴史的に Citrix NetScaler ADC の脆弱性に強い関心を示してきており、悪用が増加することが予想されます。Rapid7のリサーチチームは、この脆弱性とその影響に関する技術的評価を AttackerKB に掲載しています。

対象製品

Citrixは10月23日、悪用と緩和の詳細を記したブログを公開しtています。そのアドバイザリによると、CVE-2023-4966は、NetScaler ADCおよびNetScaler Gatewayの以下のサポートされているバージョンに影響するとしています：

* 14.1-8.50 より前の NetScaler ADC および NetScaler Gateway 14.1

* NetScaler ADC および NetScaler Gateway 13.1 (13.1-49.15 以前)

* 13.0-92.19 より前の NetScaler ADC および NetScaler Gateway 13.0

* NetScaler ADC 13.1-FIPS 13.1-37.164 以前

* NetScaler ADC 12.1-FIPS 12.1-55.300 以前

* NetScaler ADC 12.1-NDcPP 12.1-55.300 以前

注：NetScaler ADCおよびNetScaler Gatewayバージョン12.1は、現在EOL（End-of-Life）であり、脆弱性があります。

アプライアンスがゲートウェイ（VPN仮想サーバー、ICAプロキシ、CVPN、RDPプロキシ）またはAAA仮想サーバー（非常に一般的な構成）として構成されていると、悪用が可能になります。Citrixは、Citrixが管理するクラウドサービス、またはCitrixが管理するAdaptive Authenticationを使用しているお客様は、対策を講じる必要はないとしています。

緩和ガイダンス

Citrix NetScaler ADCおよびGatewayのユーザーは、一般的なパッチサイクルが発生するのを待たずに、直ちに修正バージョンにアップデートしてください。さらに、CVE-2023-4966に関するCitrixのブログでは、以下のコマンドを使用して、すべてのアクティブおよび永続的なセッションを強制終了することを推奨しています：

kill icaconnection -all

kill rdp connection -all

kill pcoipConnection -all

kill aaa session -all

clear lb persistentSessions

詳細については、Citrix社のアドバイザリーを参照してください。

Rapid7のお客様

InsightVMとNexposeのお客様は、10月23日のコンテンツリリースで利用可能な認証済みの脆弱性チェックにより、Citrixの勧告にある両方のCVE（CVE-2023-4966、CVE-2023-4967）への露出を評価することができます。

※本ブログは英語版ブログ "CVE-2023-4966: Exploitation of Citrix NetScaler Information Disclosure Vulnerability" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。