脆弱性に対応する「パッチ」があるのに、なぜ攻撃が止まらないのか

ソフトウェアの脆弱性を利用したサイバー攻撃は多い。脆弱性に対応したパッチが提供されていても、まだ攻撃が続く場合がある。なぜこうなるのだろうか。

[David Jones，Cybersecurity Dive]

　ソフトウェアに脆弱（ぜいじゃく）性が見つかった場合、どのように行動するのが最もよいだろうか。この疑問を考える際に参考になる事例がある。

脆弱性を巡る動きはどうなっているのか

　Citrix Systems（以下Citrix）はWebで配信されるアプリケーションのパフォーマンスやセキュリティを向上させるためにネットワーキングアプライアンス「NetScaler ADC」を開発、販売している。脆弱性が見つかったのはNetScaler ADCと、認証用の「Citrix NetScaler Gateway」だ。放置するとセッションの乗っ取りやその他の脅威にさらされる可能性があり（注1）、導入企業は標的型攻撃への対応に迫られている。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、Citrixが提供済みのパッチを適用して、悪意のある活動を探し、攻撃に関連する情報があれば報告するよう組織に求めている。

　だが、この脆弱性を悪用した攻撃「CitrixBleed」は、2023年10月10日にパッチが提供された後も拡大し続けている。

パッチ適用はどうなったのか

　Rapid7のケイトリン・コンドン氏（脆弱性調査の責任者）によると、同社の研究者は、CitrixBleedに関連する侵害を継続的に観察しているという。

　「悪用された脆弱性に対して、組織は迅速なパッチ適用に苦労しているようだ」（コンドン氏）

　Rapid7の研究者は小売業やヘルスケア業、製造業を標的とする活動を確認した。コンドン氏によると、攻撃者はシステム内を横断する動きとデータアクセスの両方に関与していることが分かったという（注2）。

ボーイングへの攻撃に関与か？

　セキュリティ研究者のドミニク・アルヴィエリ氏は、「脅威グループ『LockBit』がCitrixBleedを悪用している可能性がある」と報告した（注3）。

　航空機関連の事業に携わるボーイングに対する脅威活動にLockBitは関与している。だが、LockBitがボーイングのデータにアクセスするためにCitrix製品の脆弱性を悪用したかどうかは、現時点でまだ分かっていない。

　「当社は部品や流通事業の一部に影響を及ぼすサイバーインシデントに遭ったことを認識している。この問題は飛行の安全には影響を与えず、当社は事件を積極的に調査し、法執行機関や規制当局と連携している。今回のインシデントは顧客とサプライヤーに通知済みだ」（ボーイングの広報担当者）

　同社は2023年10月30日の週に「攻撃を調査している」と述べた（注4）。

パッチの何がよくなかったのか

　Citrixの脆弱性は「CVE-2023-4966」と呼ばれており、前述の通りパッチが提供されている。それにもかかわらず（注5）、Citrixは2023年10月23日に、セッションの乗っ取りや標的型攻撃について信頼できる報告があることを明らかにした（注6）。

　セキュリティの研究者によると、大規模な悪用につながる2つの条件が重なったという。一つ目はパッチ対応の遅さだ。二つ目は適切な保護を提供しないパッチの組み合わせだ。

　セイバーセキュリティ事業を営むHuntressのドレイ・アガ氏（英国における脅威を担当するオペレーション・マネジャー）は次のように述べた。

　「攻撃者に脆弱性を利用する機会を与えないためには、システム管理者は（短い間隔で）パッチを適用しなければならない。だがそれができていない可能性が高い。さらに攻撃者はパッチを回避することができる。ツールに小さな調整を施すことで『パッチ適用済み』と考えられていた脆弱性を、攻撃者が再度悪用するケースが何度もあった」

　攻撃者がパッチを回避し、以前に不正に認証されたセッションを引き続き利用できる可能性があるため、Mandiantは2023年10月17日に組織に対して、過去の全てのセッションを削除するように緊急の警告を発表した（注7）。

　Mandiantは、2023年10月31日に「攻撃者がパスワードと多要素認証を回避し、セッションを乗っ取る事例を観察した」と発表した（注8）。

　Palo Alto Networks Unit 42の研究者は、以前の報告に続いて、「攻撃活動では、Pythonスクリプトが配布され、ランサムウェアの提携者による悪用が含まれている」ことを指摘した（注9）。

　Palo Alto Networksの研究者は侵害されたユーザーが偵察コマンドを実行されており、仮想デスクトップインフラストラクチャのホストに追加のツールを配置されていることを観察した（注10）。つまり攻撃を防いだつもりになっていても、ひそかに攻撃が続行していた。

出典：CitrixBleed sparks race to patch, hunt for malicious activity（Cybersecurity Dive）
注1：CISA Releases Guidance for Addressing Citrix NetScaler ADC and Gateway Vulnerability CVE-2023-4966, Citrix Bleed（CISA）
注2：CVE-2023-4966: Exploitation of Citrix NetScaler Information Disclosure Vulnerability（Rapix7）
注3：That’s all we need, unless you’d like to set customization options.（Twitter Publish）
注4：Boeing confirms cyberattack, global services disrupted（Cybersecurity Dive）
注5：CVE-2023-4966 Detail（NIST）
注6：Citrix urges NetScaler ADC, Gateway customers to patch（Cybersecurity Dive）
注7：Citrix Netscaler patch for critical CVE bypassed by malicious hackers（Cybersecurity Dive）
注8：Investigation of Session Hijacking via Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966)（Mandiant）
注9：Citrix Bleed: Mass exploitation in progress (CVE-2023-4966)（Help Net Security）
注10：Threat Brief: Citrix Bleed CVE-2023-4966（Unit 42）