JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は10月20日、「Citrix ADCおよびCitrix Gatewayの脆弱性(CVE-2023-4966)に関する注意喚起」において、Citrix NetScaler ADC(Citrix ADC)およびNetScaler Gateway(Citrix Gateway)に複数の脆弱性が存在するとして、注意を呼び掛けた。
これら脆弱性が悪用されると、認証されていないリモートの第三者によって、認証を回避して機密情報を窃取される危険性があり注意が必要。脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- NetScaler ADCおよびNetScaler Gateway 14.1-8.50より前の14.1系のバージョン
- NetScaler ADCおよびNetScaler Gateway 13.1-49.15より前の13.1系のバージョン
- NetScaler ADCおよびNetScaler Gateway 13.0-92.19より前の13系のバージョン
- NetScaler ADC 13.1-FIPS 13.1-37.164より前の13.1-FIPS系のバージョン
- NetScaler ADC 12.1-FIPS 12.1-55.300より前の12.1-FIPS系のバージョン
- NetScaler ADC 12.1-NDcPP 12.1-55.300より前の12.1-NDcPP系のバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- NetScaler ADCおよびNetScaler Gateway 14.1-8.50あるいはそれ以降
- NetScaler ADCおよびNetScaler Gateway 13.1-49.15あるいはそれ以降
- NetScaler ADCおよびNetScaler Gateway 13.0-92.19あるいはそれ以降の13.0系のバージョン
- NetScaler ADC 13.1-FIPS 13.1-37.164あるいはそれ以降の13.1-FIPS系のバージョン
- NetScaler ADC 12.1-FIPS 12.1-55.300あるいはそれ以降の12.1-FIPS系のバージョン
- NetScaler ADC 12.1-NDcPP 12.1-55.300あるいはそれ以降の12.1-NDcPP系のバージョン
なお、NetScaler ADCおよびNetScaler Gatewayバージョン12.1系にも本件の脆弱性が存在するとされるが、製品サポートは終了している。このバージョンの製品を使用しているユーザは、上記サポート対象のバージョンへアップグレードすることが推奨されている。
修正された脆弱性は次の通り。
- CVE-2023-4966 - ゲートウェイ(VPN virtual server、ICA Proxy、CVPN、RDP Proxy)またはAAA virtual serverとして構成した場合に機密情報を開示する可能性
- CVE-2023-4967 - ゲートウェイ(VPN virtual server、ICA Proxy、CVPN、RDP Proxy)またはAAA virtual serverとして構成した場合にサービス拒否の可能性
CVE-2023-4966はすでに悪用が確認されているとして、速やかな製品アップデートが推奨されている。また、Mandiantによると、攻撃者がこの脆弱性を悪用して既存のセッション情報を窃取し、アップデート適用後にセッションハイジャックした例があるとして注意を呼びかけている(参考:「Remediation for Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966) | Mandiant」)。JPCERT/CCはこのようなセッション情報の継続的な悪用を防止するために、アップデート適用後に調査およびセッションリセットなどの対策の実施を推奨している。