病院のSEとして10年以上働いている@whitefox21seです。
▼Twitterで最新記事をツイートしてます。こちらもよろしくお願いします!
Follow @whitefox21se
サイバー攻撃への対策に関心が高まる中、何から手を付ければいいのか分からない方もいるのではないでしょうか。そこで役に立つのが、ネットワーク機器の脆弱性情報を発出しているJPCERTやIPAのサイトです。
この記事では、それらのサイトに掲載された脆弱性情報から、普段あまり触れることがないVPN機器のメーカーや種類について調べて、少しでも知識を身に着けたいと思います。
▼IPA公式サイト
https://www.ipa.go.jp/security/vuln/documents/index.html
▼IPA公式ツイッター
https://twitter.com/ICATalerts/
▼JPCERT公式サイト
▼JPCERTツイッター
▼第1弾の記事はこちら。
読者の応援が心から励みになります。記事を読むたびに、「人気ブログランキング」または「にほんブログ村」ボタンのクリックをお願いします!
※クリックすると私に票が入ります。押すだけなら無料(笑)!情報が取られる等はありませんので、ぜひ応援よろしくお願いしますm(_ _)m
システムエンジニアランキング
にほんブログ村
調査対象の脆弱性情報
今回の調査対象は、リモートデスクトップソフトで有名なCitrix(シトリックス)。SEならば誰でも知っているメーカーでしょう。
企業情報:Citrix
Citrixは、仮想デスクトップソフトを主力商品とするアメリカのIT企業。シンクライアント技術の先駆けと言われており、ソフトウェアだけでなく仮想環境周りのネットワーク機器も手掛けています。
Citrixの仮想デスクトップソリューションでは、クライアントはサーバからディスプレイの画像情報だけを受け取ります。データの実体は送受信しないため、クライアント端末にデータが残ることがなく安全にリモートアクセスができます。キーボードやマウス操作をした際には差分の情報のみをやり取りすることにより、ローカル環境で作業しているかのようなスピーディーな動作環境を実現しています。
・・・と、これはどのリモートデスクトップソフトにも共通することなのですが、Citrixは通信プロトコルに独自の規格「ICA(Independent Computing Architecture)」を用いているのが特徴になります。例えば、Windowsに標準搭載されているリモートデスクトップはRDPプロトコルを使用しており、規格が異なります。
実はRDPプロトコルも元々はMicrosoft製ではなく、Citrix社が開発したWinFrameという技術から発展したものです。
RDPの前身は、米国シトリックス・システムズが開発したWinFrameと呼ばれる技術である。WinFrameは、Windows NTを複数の端末から複数のユーザが同時利用できるようにする拡張機能で、1995年に発表され、シトリックス・システムズの主力商品となった。
この「ターミナル サービス」は、WinFrame同様、複数のユーザが複数のクライアント端末からサーバとして動作しているWindows NT機に接続して利用できるサービスで、この機能によってWindowsはリモートからも操作できるOSになった。「ターミナル サービス」は、その後「リモート デスクトップ」に名称を変更し、Windows XP以降ではOSの標準機能として組み込まれることになった。
下記は2010年公開の古い記事ですが、ICAのほうが画面の遅延がなく快適である、という調査結果も出ています。
製品情報:Citrix ADC、Citrix Gateway
Citrix Gatewayは、外部からのリモートアクセスを安全に行うSSL-VPNのネットワークアプライアンス。アプライアンスとは、特定の役割を果たすためだけに作られた、専用ネットワーク機器のこと。つまり、安全なリモートアクセスを実現するための物理装置のことです。
▼Citrix Gatewayの販社であるアセンテックのページに、詳しい説明があります。
Citrix Gatewayを設けることにより、リモートアクセス時のユーザー認証、セキュアな接続確立、リアルタイムのセッション監視などを物理装置によって行います。
これに対しCitrix ADCは、ネットワーク通信の負荷分散を実現する物理/仮想アプライアンス群のこと。ADCとはApplication Delivery Controllerの略。物理アプライアンスとしてCitrix ADC MPXシリーズ、仮想アプライアンスとしてCitrix ADC VPXシリーズがあります。
▼Citrix ADCについてはこちらのページが詳しいです。
つまりGatewayはハードウェアを指し、ADCはハード・ソフトを含めた製品群を指します。
脆弱性情報:CVE-2023-3519
では、今回取り上げる脆弱性情報を見ていきましょう。
I. 概要
2023年7月18日(現地時間)、CitrixはCitrix NetScaler ADC(Citrix ADC)およびNetScaler Gateway(Citrix Gateway)における複数の脆弱性に関する情報を公開しました。本脆弱性が悪用されると、認証されていない遠隔の第三者が任意のコードを実行するなどの可能性があります。
Citrix
Citrix ADC and Citrix Gateway Security Bulletin for CVE-2023-3519, CVE-2023-3466, CVE-2023-3467
https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467
これらの脆弱性の内、リモートコード実行の脆弱性(CVE-2023-3519)について、Citrixは脆弱性を悪用する攻撃を確認しているとのことです。影響を受ける製品を利用している場合、Citrixが提供する最新の情報や関連情報をご確認の上、速やかに対策の適用などをご検討ください。
この脆弱性が悪用されると、認証されていない遠隔の第三者によって任意のコードが実行されるようです。Citrix ADCやGatewayを使っているということはリモートアクセス環境が構築されていることを意味するわけですから、そのセキュリティホールを突いて、第三者がリモートで不正なプログラムを動かせてしまう、ということになります。
なお、文中の表現に「Citrix NetScaler ADC(Citrix ADC)およびNetScaler Gateway(Citrix Gateway)」とあるのは、2018年に製品群の名称が変更されたためで、下線が新名称になります。業界内ではNetScalerの方が馴染みがあるため、このような併記表現を取っているのでしょう。
II. 対象
対象となる製品およびバージョンは次のとおりです。
- NetScaler ADCおよびNetScaler Gateway 13.1-49.13より前の13.1系のバージョン
- NetScaler ADCおよびNetScaler Gateway 13.0-91.13より前の13系のバージョン
- NetScaler ADC 13.1-FIPS 13.1-37.159より前の13.1-FIPS系のバージョン
- NetScaler ADC 12.1-FIPS 12.1-55.297より前の12.1-FIPS系のバージョン
- NetScaler ADC 12.1-NDcPP 12.1-55.297より前の12.1-NDcPP系のバージョン
なお、すでにEOLを迎えているNetScaler ADCおよびNetScaler Gateway 12.1系も本脆弱性の影響を受けることから、Citrixはサポート対象のバージョンへのアップデートを推奨しています。また、脆弱性により影響を受ける条件が異なります。リモートコード実行の脆弱性(CVE-2023-3519)の場合、同製品がゲートウェイ(VPN仮想サーバー、ICA Proxy、CVPN、RDP Proxy)かAAA仮想サーバーとして設定されている場合に影響を受けます。設定についてはCitrixの情報をご確認ください。
リモートアクセスの機器については、セキュリティの観点からベンダーが院内SEに対して情報を公開していない場合もあります。心当たりがある場合は、ベンダーに問い合わせて確認しましょう。
III. 対策
Citrixから本脆弱性を修正したバージョンへのアップグレードが推奨されています。修正済みバージョンの適用をご検討ください。
- NetScaler ADCおよびNetScaler Gateway 13.1-49.13あるいはそれ以降
- NetScaler ADCおよびNetScaler Gateway 13.0-91.13あるいはそれ以降の13.0系のバージョン
- NetScaler ADC 13.1-FIPS 13.1-37.159あるいはそれ以降の13.1-FIPS系のバージョン
- NetScaler ADC 12.1-FIPS 12.1-55.297あるいはそれ以降の12.1-FIPS系のバージョン
- NetScaler ADC 12.1-NDcPP 12.1-55.297あるいはそれ以降の12.1-NDcPP系のバージョン
脆弱性に対応したバージョンがすでに提供されていますので、速やかなアップデートが望まれます。
以上、Citrix社のCitrix ADC、Gatewayについて調べてみました。
VPN機器のメーカーや製品情報を知っておくと、システム入替時に選択の幅が広がります。ベンダーへ任せきりにしているところもあると思いますが、脆弱性情報は常に拾うようにし、サイバーセキュリティ対策について理解を深めていきたいな、と思うところです。
最後に
当ブログでは、病院に勤務するシステムエンジニアの私が、関係法令の改正やパソコンのトラブルシューティングなどをSE目線から紹介しています。
面白いと思ったら、ぜひブラウザにお気に入りの登録をお願いします!
人気記事もぜひ読んでいってくださいね。
▼面白かったと思って頂けたら、ぜひ下の「人気ブログランキング」または「にほんブログ村」のボタンを押してください!