Citrix ADCの脆弱性悪用した攻撃、世界では「640」以上、日本では「25」のサーバーにWebシェルが展開済み:CVE-2023-3519
今年7月に開示されたCitrix Netscaler ADCおよびGatewayにおける重大なRCEの脆弱性、CVE-2023-3519。これを悪用した一連の攻撃により、すでに世界で「640」以上、日本では「25」のCitrixサーバーへWebシェルが展開され、バックドアが設置されているという。
脆弱性CVE-2023-3519
CVE-2023-3519は、認証されていない遠隔の攻撃者による任意コードの実行を可能にする恐れのある重大な脆弱性で、CVSSスコアは9.8。この脆弱性は、6月に米国の重要インフラ組織のネットワークを侵害するためにゼロデイとして悪用されていたことが以前より明らかになっていた。なお、この脆弱性のパッチは7月18日にリリース済み。
640超えるCitrixサーバーにすでにWebシェルChina Chopperが展開済み
非営利セキュリティ団体Shadowserver Foundationの研究者によると、CVE-2023-3519を悪用した攻撃によりWebシェルChina Chopperが展開されているCitrixサーバーは、少なくとも640以上存在するという。またShadowserverのデータは、日本にもWebシェル展開済みのサーバーが「25」存在することを示している。
Heads-up: We continue to report out daily lists of Citrix ADC/Gateway IPs that are known to be compromised with webshells installed (CVE-2023-3519 attacks). We see 581 instances on 2023-08-01.
Data for your network in https://t.co/D1KZAGvfTr
Dashboard: https://t.co/aKOD7zaL1j pic.twitter.com/oqGRwi6ML8
— Shadowserver (@Shadowserver) August 2, 2023
実際にはもっと多くのサーバーが侵害されている可能性大
ShadowserverのCEOがBleepingComputerに語ったところによると、実際には640という数字よりもはるかに多くのサーバーにWebシェルが展開されていると考えられるという。なお、Shadowserverのデータによると、8月1日時点で、世界の約9,700台のCitrixアプライアンスがCVE-2023-3519に脆弱な状態であるとされる。
Citrixは迅速なパッチ適用を呼びかけているほか、米CISAも8月9日までにCitrixサーバーを保護するよう米連邦政府組織に指令を出している。
(情報源:BleepingComputer “Over 640 Citrix servers backdoored with web shells in ongoing attacks”)
8月3日:その他の注目ニュース
macOS向けの新たなHVNCマルウェアが、ハッカーフォーラム上で宣伝される
イスラエルのサイバーセキュリティ企業Guardzによると、macOSデバイスを標的とした新しい隠しVirtual Network Computing (HVNC) マルウェアが、有名なサイバー犯罪フォーラムで宣伝されているという。
技術サポートによく使われるVNC(Virtual Network Computing)は、ネットワーク経由でコンピューターを遠隔操作するもので、デバイスのユーザーは、実行されたアクションを画面上で見ることができる。一方、HVNCは悪意を持って使用され、脅威アクターはユーザーの知らないうちにリモートシステムをコントロールできる。Guardzによると、今回新たに見つかったHVNCマルウェアの主な目的は、認証情報、個人情報、金銭関連情報、その他の種類のデータを含む機微情報の窃取にあるようだ。この脅威はまた、攻撃者が感染したマシンを密かに遠隔操作することも可能にする。
2023年4月以降、このmacOS向けHVNCマルウェアは少なくとも1回アップデートされ、ロシアのハッカーフォーラム上で6万ドルで提供されている。また、中小企業(SME)にとって脅威となる機能を備えていると宣伝されている。さらに、リバースシェルおよびファイル管理機能、ブラウザ検出機能を備えており、ユーザーからの許可を要求せずに実行できる模様。このマルウェアを宣伝している脅威アクター「RastaFarEye」は、同ツールがmacOSのバージョン10〜13.2まででテストされている旨、侵害されたシステムへの持続的なアクセスを提供できる旨を主張しており、2万ドルで同ツールの機能を拡張するローダーを配布するとしている。
Guardzは、このマルウェアがサイバー犯罪サービス「アタック・アズ・ア・サービス」に組み込まれる可能性があると指摘し、中小企業に対し、防御を強化し、フィッシングや信頼できないもののダウンロードに関するリスクについてユーザーや従業員を教育するよう促している。
バーガーキング、またしてもシステムにパスワードをかけ忘れる
Cybernewsの研究チームは、フランスのバーガーキングのWebサイト上の設定ミスにより、機微な認証情報が一般に公開された状態となっていたことを発見した。バーガーキングは、米国を拠点とする国際的なファストフード大手。全世界に19,000店以上の店舗を展開しており、売上高は18億ドルに上る。
流出した認証情報は、同チェーンのシステムに対するサイバー攻撃を計画するための道具となった可能性がある。また、流出したデータそのものはWebサイトを完全にコントロールするには十分ではないが、特に他の脆弱なエンドポイントを特定することに成功した場合において、攻撃者が将来実施しうる乗っ取りのプロセスを大幅に簡素化する可能性がある。他にもデータベースの認証情報やGoogle Analytics IDが流出しており、これが悪用されればデータベースの中に保存されているデータが抽出・変更されたり、Webサイトのパフォーマンス分析に重大な混乱が生じたりする恐れがある。
また、影響を受けたWebサイトは求人応募のためのものであったため、フランスのバーガーキングに就職を希望する人々が影響を受けた可能性があるという。バーガーキングが機微データを流出させたのは今回が初めてではなく、2019年にも、同様の設定ミスによる情報の流出が発生していた。この問題はCybernewsによって同社に報告され、すでに修正されたとのこと。