CVE-2023-4966 検出: 重大な Citrix NetScaler の脆弱性が野外で活発に悪用されている

リストに追加するには 重要なCitrix NetScalerゼロデイ、セキュリティ研究者は、新しい危険な脆弱性（CVE-2023-4966）がパッチが10月に発行されたにもかかわらず、野生で継続的に悪用されていると警告しています。情報漏洩の欠陥としてマークされたCVE-2023-4966は、脅威アクターが既存の認証済みセッションを乗っ取り、マルチファクタ認証（MFA）のバイパスが発生する可能性があります。セキュリティの専門家によると、パッチ適用だけではセキュリティギャップを解消するには不十分であり、アップデートインストール後にすべてのアクティブセッションの終了を要求します。この脆弱性は、最も高い重大度レベルを取得し、CISAによってKEVカタログに追加されました。

CVE-2023-4966エクスプロイトの検出

CVE-2023-4966を武器化する攻撃の雪崩が続いており、問題に対処するための複雑なアプローチが必要なため、セキュリティ実践者は可能な限り早期に侵入を特定するための信頼できる検出コンテンツを必要としています。SOC Prime Teamは、CVE-2023-4966の悪用試行を特定するための専用検出ルールを開発しました:

Citrix CVE-2023-4966の可能性のあるエクスプロイト試行（ウェブサーバー経由）

このルールは13のセキュリティ分析ソリューションと互換性があり、 MITRE ATT&CKフレームワークにマッピングされ、公共向けのアプリケーションの悪用（T1190）としての初期アクセス戦術に対応しています。

新しいCVEの検出を目指したより広範な検出スタックを確認するには、 検出を探索 ボタンをクリックしてください。セキュリティ専門家は、ATT&CKのリファレンスやCTIリンクに伴う詳細なサイバー脅威コンテキストを入手でき、組織特有のニーズに合わせた実用的なメタデータを取得して、脅威研究を効率化できます。

検出を探索

CVE-2023-4966の分析

研究者は最近、新たなゼロデイ脆弱性として追跡された CVE-2023-4966 を特定し、CitrixのNetScaler ADCおよびGatewayインスタンスに影響しています。Citrixは サイバーセキュリティアドバイザリ を発行し、CVE-2023-4966の悪用試行についての警告を顧客に通知しました。攻撃者によって武器化されるためには、Citrixインスタンスは特定の機能（VPN仮想サーバー、ICAプロキシ、CVPN、RDPプロキシ）を持ったゲートウェイとして、またはAAA仮想サーバーとして設定されている必要があります。CVE-2023-4966は、Citrix管理クラウドサービスまたはCitrix管理のアダプティブ認証を使用する顧客には影響しません。

CVE-2023-4966は、9.4の重要なCVSSスコアに達し、ゼロデイの欠陥として野放しにされることで、多くの顧客を成長するリスクに曝しています。

CVE-2023-4966のパッチが10月の最初の十日にリリースされたにもかかわらず、Citrixはアドバイザリーに微調整を加え、保護や緩和がされていないアプライアンスでCVE-2023-4966の悪用インスタンスが観察されていたことを強調しました。

Mandiant研究者 は、プロフェッショナルサービス、技術業界、公共セクターを標的とするCVE-2023-4966の積極的な悪用を観察しました。欠陥の成功した悪用は、悪意のあるアクターが既に確立された認証済みセッションを制御し、多要素認証およびその他の優れた認証ポリシーを効果的に回避できる可能性があります。さらに、研究者は、パッチを適用する前にセッションデータが盗まれ、攻撃目的でさらに悪用されるというセッションハイジャックの事例を明らかにしました。

進行中の悪用試行の証拠を考慮すると、CISAは、もう1つのサービス拒否欠陥であるCVE-2023-4967とともにCVE-2023-4966を 既知の悪用された脆弱性カタログ.

に追加しました。脅威を緩和するために、Citrixは、潜在的に影響を受けるインスタンスを直ちに更新し、推奨されるビルドをインストールすることを推奨します。SDXハードウェア上でNetScaler ADCまたはNetScaler Gatewayデバイスを使用するユーザーは、VPXインスタンスをアップグレードする必要があります。

ゼロデイの数が増え続けている中、プロアクティブな脆弱性の悪用ユースケースに対する検出コンテンツは、組織のサイバー回復力を強化するためのトッププライオリティの1つです。 Uncoder AIを使用して検出エンジニアリング能力を向上させ、業界初の活発な脅威情報防衛用IDEで、検出を迅速に作成し、一般的な構文および論理エラーを回避し、インテリジェンスでコードを強化し、65の言語フォーマットに即座に翻訳します。