ランサムウェア「LockBit 3.0」がCitrixの脆弱性悪用して攻撃、CISAが警戒発表

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2023年11月21日(米国時間)、「#StopRansomware: LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability｜CISA」において、「Citrix Bleed」と名付けられた脆弱性CVE-2023-4966を悪用するランサムウェア「LockBit 3.0」に関連するセキュリティ侵害インジケータ(IoC: Indicator of Compromise)、戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)および検出方法を公開した。

これはCISA、米国連邦調査局(FBI: Federal Bureau of Investigation)、多州間情報共有・分析センター(MS-ISAC: Multi-State Information Sharing and Analysis Center)、およびオーストラリア通信電子局(ASD: Australian Signals Directorate)のオーストラリアサイバーセキュリティセンター(ACSC: Australian Cyber Security Centre)の共同のセキュリティ勧告によるもので、「#StopRansomware」の取り組みの一環とされる。これまでの#StopRansomwareの取り組みとアドバイザリは「Stop Ransomware | CISA」から確認することができる。

• #StopRansomware: LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability｜CISA

今回のセキュリティ勧告の対象とされた脆弱性の影響を受けるプロダクトとバージョンは次のとおり(この脆弱性に関しては、これまでに「Citrix ADCとCitrix Gatewayにゼロデイの脆弱性、ただちに対応を | TECH+（テックプラス）」として報じている)。

• NetScaler ADCおよびNetScaler Gateway 14.1-8.50より前の14.1系のバージョン
• NetScaler ADCおよびNetScaler Gateway 13.1-49.15より前の13.1系のバージョン
• NetScaler ADCおよびNetScaler Gateway 13.0-92.19より前の13系のバージョン
• NetScaler ADC 13.1-FIPS 13.1-37.164より前の13.1-FIPS系のバージョン
• NetScaler ADC 12.1-FIPS 12.1-55.300より前の12.1-FIPS系のバージョン
• NetScaler ADC 12.1-NDcPP 12.1-55.300より前の12.1-NDcPP系のバージョン

今回のセキュリティ勧告では、航空宇宙機器開発製造のボーイングで確認されたインシデントにおいて、ボーイングが自主的に提供したセキュリティ侵害インジケータと戦術、技術、手順を公開している。また、この脆弱性を悪用したLockBit 3.0の攻撃を検出する方法とYARAルールも公開している。該当する製品を利用している管理者は、開発元が提供する情報に基づいて影響を確認し、速やかにアップデートすることが推奨されている。

なお、この脆弱性により既存のセッション情報を窃取した攻撃者が、アップデート適用後にセッションハイジャックした例があるという。このため、セッション情報の継続的な悪用を防止するために、アップデート適用後にセッションリセットなどの対策の実施が推奨されている。

また、このセキュリティ勧告ではアップデート適用後にCitrixソフトウェアとシステムを評価して侵害の有無を調査し、悪意のある活動を探すことを推奨している。この作業にはこのセキュリティ勧告で提供されている攻撃を検出する方法が活用できる。

侵害が疑われる場合、攻撃者がすでに管理アクセスを保持し、すべてのタスクを実行できると想定して対応する必要がある。この場合のインシデント対応手順についてもセキュリティ勧告の中で解説しており、影響が確認された場合は手順に従って適切に対処することが望まれている。