セキュリティ

CitrixのNetScaler製品やAdobe ColdFusionに任意コードを実行可能なゼロデイ脆弱性が発見される


テクノロジー企業のCitrixが、ネットワークを構築するためのアプライアンス製品である「NetScaler ADC」「NetScaler Gateway」ですでに悪用されている重大なゼロデイ脆弱(ぜいじゃく)性が判明したとして、速やかにバージョンアップデートを行うように警告しました。

Citrix ADC and Citrix Gateway Security Bulletin for CVE-2023-3519, CVE-2023-3466, CVE-2023-3467
https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467


Citrix Releases Security Updates for NetScaler ADC and Gateway | CISA
https://www.cisa.gov/news-events/alerts/2023/07/18/citrix-releases-security-updates-netscaler-adc-and-gateway


New critical Citrix ADC and Gateway flaw exploited as zero-day
https://www.bleepingcomputer.com/news/security/new-critical-citrix-adc-and-gateway-flaw-exploited-as-zero-day/


報告された脆弱性は「CVE-2023-3519」「CVE-2023-3466」「CVE-2023-3467」の3つです。CVE-2023-3519は認証なしにリモートコード実行が可能になる脆弱性、CVE-2023-3466はクロスサイトスクリプティング(XSS)の脆弱性、CVE-2023-3467はルート管理者権限に昇格できる脆弱性とのこと。このうちCVE-2023-3519については深刻度が10点中9.8点と評価されており、すでに悪用された実例が確認されているそうです。

対象となるバージョンは以下の通り。Citrixはバージョン12.1についてはライフサイクルが終了しているので、新しいバージョンにアップグレードする必要があると述べています。

・NetScaler ADCおよびNetScaler Gatewayのバージョン13.1-49.13以降
・NetScaler ADCおよびNetScaler Gatewayのバージョン13.0-91.13、および13.0以降
・NetScaler ADC 13.1-FIPSのバージョン13.1-37.159以降
・NetScaler ADC 12.1-FIPSのバージョン12.1-65.36以降
・NetScaler ADC 12.1-NDcPPのバージョン12.1-65.36以降

セキュリティ関連ニュースサイトのBleeping Computerによると、2023年7月上旬に何者かがハッカー向けのフォーラムに「Citrix ADCのバージョン13.1ビルド48.47まででリモートコード実行可能なゼロデイ脆弱性があった」と書き込んだそうで、Citrixはこの書き込みをきっかけに問題を公開する前に修正パッチの作成に取り組んでいたとのこと。Citrixは問題のゼロデイ脆弱性に対応した修正版へのアップデートを強く呼びかけています。


なお、Citrix ADCとCitrix Gatewayは2022年12月にも任意のコードをリモート実行可能となる脆弱性が確認されており、早急なアップデートを呼びかけていました。

Citrix ADC および Citrix Gateway の脆弱性について(CVE-2022-27518) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/security-alert/2022/alert20221214.html

また、Adobeの開発フレームワークであるColdFusionに脆弱性「CVE-2023-38203」が発見されたと、セキュリティ企業のRapid 7が報告しています。

Active Exploitation of Multiple Adobe ColdFusion Vulnerabilities | Rapid7 Blog
https://www.rapid7.com/blog/post/2023/07/17/etr-active-exploitation-of-multiple-adobe-coldfusion-vulnerabilities/


Adobe ColdFusionは2023年7月にセキュリティ機能がバイパスされる脆弱性「CVE-2023-29298」や任意のコード実行を可能にする脆弱性「CVE-2023-29300」が発見され、修正パッチを配信したばかりでした。今回発見されたCVE-2023-38203はCVE-2023-29300に近い脆弱性で、前回の修正パッチ配布からわずか3日で新たな修正パッチが配布される事態となりました。

なお、CVE-2023-29298とCVE-2023-38203の両方に対して脆弱なバージョンは以下の通り。ただし、Rapid 7によれば、記事作成時点での最新バージョンはCVE-38203については修正されているものの、CVE-2023-29298に対しては依然として脆弱であるとのことです。

・Adobe ColdFusion 2023 Update 1
・Adobe ColdFusion 2021 Update 7以降
・Adobe ColdFusion 2018 Update 17以降

この記事のタイトルとURLをコピーする

・関連記事
Appleがゼロデイ脆弱性を修正したセキュリティアップデートを実施、すでに悪用された可能性あり - GIGAZINE

ハッカーがTwitterやGitHubでセキュリティ研究者になりすましてWindowsやLinuxにマルウェアを感染させる「偽の概念実証エクスプロイト」を公開している - GIGAZINE

スマホの指紋認証を回数無制限かつ機械的に実行できる攻撃手法「BrutePrint」が開発される、材料費はわずか2000円でAndroidには効果抜群もiPhoneなら防御可能 - GIGAZINE

ChromeのV8 JavaScriptエンジンのゼロデイ脆弱性に対する緊急アップデートをGoogleが実施、既に攻撃に悪用されまくっているため - GIGAZINE

・関連コンテンツ

in ソフトウェア,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article here.