CVE-2023-3519 検出: Citrix NetScaler ADC と NetScaler Gateway における RCE ゼロデイが野外で悪用

注意！サイバーセキュリティの専門家が、Citrix NetScaler Application Delivery Controller (ADC) および NetScaler Gateway Appliances を妥協するゼロデイの欠陥について防御者に通知します。CVE-2023-3519 と追跡されているこの欠陥は、RCE を引き起こす可能性があり、実際に敵によって積極的に利用され、PoC エクスプロイトが GitHub に公開されています。

CVE-2023-3519 のエクスプロイト試みを検出する

CVE-2023-3519 を利用して侵入を自動化して進める攻撃の増加は、サイバー防御者にとって増大する脅威となっています。可能な限り早期に侵入を特定するために、共同サイバー防御向けの SOC Prime プラットフォームでは、CVE-2023-3519 エクスプロイト検出を目的とした厳選された Sigma ルールを提供しています。

すべてのルールは、28 の SIEM、EDR、XDR、および Data Lake テクノロジーと互換性があり、 MITRE ATT&CK v12 にマッピングされており、脅威ハンティングの操作を合理化し、重大な脅威に対する深い分析を円滑にします。

注目されているセキュリティ問題に対処するルールの完全なリストを探索するには、以下の 検出を探す ボタンを押してください。セキュリティの専門家は、ATT&CK の参照や CTI のリンクに伴った広範なサイバー脅威コンテキストにアクセスでき、現在のセキュリティニーズと一致するより関連性のあるメタデータを取得し、脅威の調査を強化します。

検出を探す

CVE-2023-3519 の分析

増加している攻撃試行に応じて CVE-2023-3519 RCE、この CVSS スコアが 9.8 に達し、Mandiant の研究者が最近公開した IOC スキャンツール により、防御者は Citrix デバイスを検査して侵害の痕跡を確認できます。

この欠陥は 2023 年 7 月中旬に注目され、直ちにサイバー脅威の舞台で騒ぎを引き起こし、その活発な実際利用の主張が増加しました。この脆弱性により、敵はターゲットとなる NetScaler ADC（以前は Citrix ADC と呼ばれていた）および NetScaler Gateway 機器で RCE を実行できます。敵は悪意のあるウェブシェルやスクリプトをアップロードすることにより CVE-2023-3519 の欠陥を武器化し、環境をスキャンして機密データを盗むことができます。 CVE-2023-3519 の PoC エクスプロイト は、関連アドレスとシェルコードを適用するもので、現在 GitHub で利用可能です。

サイバーセキュリティ意識を高めるために、Citrix は直ちに関連する セキュリティ警告を発行し、CVE-2023-3519 ならびにその他の NetScaler ユーザーに影響を与える欠陥への潜在的なエクスプロイト試行について防御者にタイムリーに警告するよう努めました。対応するセキュリティブリテンでは、NetScaler の顧客に、脆弱性を解決する最新のソフトウェアバージョンへのアップグレードを促しました。しかし、 Shadowserver Foundation のサイバーセキュリティ研究者は、Citrix のアップデートがリリースされた後でも、15,000 台以上の機器が、関連するイン・ザ・ワイルド攻撃によりセキュリティバグを悪用されたことを発見しました。

CVE-2023-3519 のゼロデイを利用する攻撃の増加によって、数千の Citrix NetScaler インスタンスが潜在的に影響を受けるため、防御者には最適な対応が求められます。関連する侵害の指標を探すために Uncoder AI に依存し、SIEM または EDR 環境で実行できる IOC クエリを即座に生成し、脅威調査の時間を短縮します。