LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

注意喚起 | 

追記【注意喚起】Citrix社ネットワーク製品の深刻なゼロデイ脆弱性(CVE-2019-19781)での攻撃を確認、今すぐ対策を

【更新情報】2020年1月16日
新しい攻撃パターンが発生していますので、「攻撃を受けたか・被害が出ているかの確認方法」について追記いたしました。

JSOCアナリストの山坂です。

2019年12月にCitrix社の一部の製品に関する任意のコードを実行可能な脆弱性(CVE-2019-19781)が公開されました。この脆弱性が悪用された場合、データ改ざんや流出などの被害が発生する恐れがあり、非常に危険です。

2020年1月11日には、脆弱性を悪用する攻撃コードがインターネット上に公開されたことをJSOCで確認しています。同日から脆弱性を悪用する攻撃通信を観測し、翌12日に攻撃の急増を確認しています。1月15日時点ではセキュリティパッチのないゼロデイの状況であり、容易に悪用が可能なことから継続して非常に多くの攻撃が行われています。

攻撃通信は、主に設定ファイルを参照する攻撃を観測していますので、参照された情報をもとにさらなる攻撃が行われる可能性があります。

影響を受ける可能性がある環境

脆弱性の対象となる以下Citrix社製品の利用の有無を確認してください。

  • Citrix Application Delivery Controller(旧名称:Citrix NetScaler ADC)
  • Citrix Gateway(旧名称:NetScaler Gateway)

これらの製品を利用している場合は、後述する「対策方法」で紹介するCitrix社公式サイトに暫定回避策が記載されていますので、至急実施してください。また、既にこの脆弱性が悪用され侵害を受けている可能性がありますので、後述の「攻撃や被害を受けているかどうかの確認方法」で案内している調査を実施されることをお勧めします。対応が難しい場合は、この脆弱性に対応したアップデートが1月20日以降にリリースされる予定と案内されていますので、アップデートが完了するまでシステムを停止することを検討してください。

JSOCで確認したインシデント通知件数の推移

1月14日までにJSOCが運用するスレットインテリジェンス基盤にて検知した攻撃の検知件数は、図1のように推移しています。

図1:JSOCのスレットインテリジェンス基盤にて検知した攻撃の件数推移
図1:JSOCのスレットインテリジェンス基盤にて検知した攻撃の件数推移

スレットインテリジェンス基盤における観測では、この攻撃の送信元IPアドレスの大半は米国です(図2)。観測している通信のほとんどは脆弱性の有無を探るものですが、このたびの脆弱性を悪用して、設定ファイルを参照するコマンドの実行や外部からファイルを取得するcurlコマンドの実行を試みるものも観測しています。

図2:送信元IPアドレスの国コード別割合

図2:送信元IPアドレスの国コード別割合

対策方法

Citrix社から、設定変更による攻撃の暫定回避策が公開されています。前述の通り、この脆弱性に対応したアップデートは1月20日以降の予定と案内されていますが、暫定回避策を取った場合でもアップデートは必ず実施することを推奨します。

Mitigation Steps for CVE-2019-19781

攻撃を受けたか・被害が出ているかの確認方法

以下のキーワードで、アクセスログを検索してください。

POST リクエストかつ、

  • "/vpn/../vpns/portal/scripts/newbm.pl"
  • "/vpn/../vpns/portal/scripts/rmbm.pl"
  • "/vpns/portal/scripts/newbm.pl" (追加)
  • "/vpns/portal/scripts/rmbm.pl" (追加)

を含む文字列、または
GET リクエストかつ、

  • "/vpn/../vpns/portal/scripts/picktheme.pl"
  • "/vpns/portal/scripts/picktheme.pl" (追加)

を含む文字列

該当するログがある場合は、攻撃を受けている可能性があるため、そのリクエスト内容の正当性(利用上の正常なリクエストかどうか)を確認してください。正当なものではない場合、既に被害を受けている可能性があります。今回の攻撃ではコマンドの実行結果をファイルに出力するものを多く観測しており、出力先は任意に指定できるようですが、JSOCにおける観測では1月15日朝時点において「/netscaler/portal/templates」配下にファイルを作成するコマンドを多く観測しています。上記のアクセスログ調査に加えて、ここに不審なファイルが作成されていないか、調査を実施することをお勧めします。

参考URL

この記事は役に立ちましたか?

はい いいえ