Bleeping Computerは8月2日(米国時間)、「Over 640 Citrix servers backdoored with web shells in ongoing attacks」において、進行中の攻撃により640台を超えるCitrixサーバにバックドアが設置されたと伝えた。
Bleeping Computerによると、CVE-2023-3519で識別されるリモートコード実行(RCE: Remote Code Execution)の脆弱性を狙った進行中の攻撃があり、すでに数百台のCitrix Netscaler ADCおよびゲートウェイサーバが侵害されバックドアが設置されたとしている。
この脆弱性は過去に米国の重要インフラのネットワークに侵入する際に使用されたことで知られている。インターネットセキュリティの強化に取り組む非営利団体Shadowserver Foundationのセキュリティ研究者は、今回の攻撃でこれまでに少なくとも640台のCitrixサーバにバックドアが設置されたことを明らかにしている。
今回設置されたバックドアはWebシェルのChinaChopperだとされ、Shadowserver FoundationのCEOは詳細の公表を控えたいとしつつ、今回検出した数はおそらく実際よりもはるかに少ないだろうとの予測を示した。また、Shadowserver Foundationは公開しているメーリングリストにおいて、2023年7月20日には悪用が始まっていることがわかっているとし、7月20日までにパッチを適用していなかった場合はすでに攻撃されたと考えてほしいと伝えている。
Citrixは7月18日(2023年7月19日更新)にこの問題とほか2件の深刻な脆弱性に対処するセキュリティアップデートをリリースしている。この脆弱性は主に、ゲートウェイ(VPN仮想サーバ、ICAプロキシ、CVPN、RDPプロキシ)および仮想認証サーバ(AAAサーバ)として構成したCitrix Netscaler製品に影響があるとみられる。
現在進行中のこの脅威に対し、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)はアメリカ連邦政府機関に対し8月9日までにネットワーク上のCitrixサーバを保護するように命じている。これは、この問題の深刻さを物語っており、対象製品を運用する管理者は速やかに対処することが望まれる。