Bleeping Computerは7月22日(米国時間)、「Over 15K Citrix servers vulnerable to CVE-2023-3519 RCE attacks」において、1万5,000を超えるCitrixサーバがCVE-2023-3519として追跡されているリモートコード実行の脆弱性に対処しないままオンラインで公開されているという調査結果を伝えた。
CVE-2023-3519は攻撃への悪用が確認されているゼロデイ脆弱性であり、Citrixは2023年7月18日にこの脆弱性のパッチをリリースしているが、依然としてパッチを適用しないままで運用されているサーバが多数存在しているという。
Bleeping Computerが挙げている数字は、インターネットセキュリティに関する非営利団体の Shadowserver Foundationによる調査結果に基づくもの。 Shadowserverの研究者は、オンラインで公開されているCitrixサーバのバージョン情報を調査し、少なくとも1万5,000台のアプライアンスがCVE-2023-3519に対して脆弱だと結論付けた。
具体的には、Citrixインスタンスのバージョンハッシュ情報を確認し、バージョンハッシュが削除されていないインスタンスは脆弱な可能性があると判断したという。最近のアップデートでCitrixサーバはバージョンハッシュ情報を提供しなくなったことから、バージョンハッシュがまだ提供されているということは、アップデートが行われていないと考えられるからだ。バージョンハッシュがないインスタンスはバージョンの確認そのものができないため、実際には脆弱なサーバがさらに多い可能性もあるという。
-
CVE-2023-3519に対して脆弱なCitrixサーバの分布 出店:Shadowserver Foundation
CVE-2023-3519の詳細は、Cirtixの次のセキュリティアドバイザリにまとめられている。
また、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、CVE-2023-3519について早急に対処するべき影響度の大きい脆弱性として次のセキュリティアラート「AA23-201A」を発令している。AA23-201Aには、CVE-2023-3519を利用した攻撃に関する詳細や、侵害された場合の検出方法などもまとめられている。
影響を受けるCitrix製品を利用している場合、CitrixやCISAが提供する最新の情報を確認した上で、速やかに対策を実施することが推奨されている。
Windows 11バージョン24H2、ゲーム応答不能の不具合
