Citrixの脆弱性狙った大規模キャンペーン　約2千のNetScalerサーバーにバックドアが存在：CVE-2023-3519

Citrixの脆弱性狙った大規模キャンペーン　約2千のNetScalerサーバーにバックドアが存在：CVE-2023-3519

先月から悪用が報じられているNetScaler ADCおよびNetScaler Gatewayにおける重大なRCEの脆弱性CVE-2023-3519。今月初頭にはこの悪用により世界では「640」以上、日本では「25」のサーバーにWebシェルが展開されているとの報道があったが、Fox-ITが15日に発表したレポートにより、8月14日時点で世界の約「2,000」のサーバーにバックドアが残存していることが新たに明らかになっている。なお、この大規模悪用は7月20〜21日に行われたと考えられている。

関連記事：Citrix ADCの脆弱性悪用した攻撃、世界では「640」以上、日本では「25」のサーバーにWebシェルが展開済み：CVE-2023-3519

バックドアが設置されたサーバーの69%はCVE-2023-3519に対するパッチを適用済み

Fox-ITによれば、攻撃者はCVE-2023-3519の大規模悪用を自動化された手法により実施しているとみられ、侵害したNetScalerサーバーには持続的なアクセスを実現するためのWebシェル（バックドア）を展開しているという。これにより、たとえサーバーにパッチが適用されたりサーバーがリブートされたとしても、攻撃者は展開済みのWebシェルによって任意のコマンドを実行できるのだという。

なお、8月14日の時点でバックドアが設置されているサーバーの数は「1,828」で、このうち「1,248」（全体の69%）のサーバーがCVE-2023-3519に対するパッチを適用済みだとされる。Fox-ITによると、このことは、NetScalerサーバーの管理者の大半がCVE-2023-3519について認識し、パッチを適用していながらも、その時点までに悪用が行われたかどうかを適切に確認できていなかったのであろうことを示唆しているという。

侵害されたのは脆弱なサーバーの6.3%

一方で、今回のキャンペーンではCVE-2023-3519に脆弱な状態のNetScalerサーバーがすべて狙われたわけではない。7月21日の時点でパッチ未適用のサーバーは世界に「31,127」存在したが、このうち実際に侵害されたのは 6.3%ほどだったという。

関連記事：Citrix ADCとGatewayの重大な脆弱性が、ゼロデイ攻撃で悪用される：CVE-2023-3519

国別の侵害件数、日本は4位

Fox-ITは、バックドアが残存した状態のNetScalerサーバーの件数が特に多い上位20か国を棒グラフ形式で紹介している。これによると、1位は2位のフランスや3位のスイスと圧倒的な差をつけたドイツで、侵害されたサーバー数は「550」ほど。そして日本は4位につけており、バックドアの設置されたサーバーが国内に「150」弱ほど存在することが示されている。

NetScalerサーバーの確認を

Fox-ITは、たとえパッチ済みまたは最新バージョンにアップデート済みであっても、NetScalerサーバーのチェックを実施するよう強く推奨している。Fox-ITはこのために利用できるPythonスクリプトをGitHub上で提供しているほか、Mandiantも侵害の兆候を確認するためのスキャナーツールをGitHub上で公開している。

またJPCERTコーディネーションセンター（JPCERT/CC）も、パッチの適用に加えて侵害有無の調査も行うよう呼びかけている。

Citrix ADCおよびCitrix Gatewayの脆弱性（CVE-2023-3519）に関する注意喚起を更新。侵害有無を調査するツールに関する情報や、対策バージョンの適用後にもバックドアが残置している可能性を示す情報が公開されています。対策適用に加え侵害有無の調査も実施してください。^KK https://t.co/Txd5v1nyEJ

— JPCERTコーディネーションセンター (@jpcert) August 16, 2023

（情報源：Fox-IT ”Approximately 2000 Citrix NetScalers backdoored in mass-exploitation campaign”）