「Citrix ADC」へのゼロデイ攻撃、国内でも11日より観測

ラックは、同社セキュリティオペレーションセンターにおいて「Citrix ADC」や「Citrix Gateway」に対するゼロデイ攻撃を観測していることを明らかにした。

認証を必要とせず、リモートより任意のコードが実行可能となる脆弱性「CVE-2019-19781」を悪用しようとする通信を、同社セキュリティオペレーションセンターによる監視で観測しているもの。国内に対して同様の攻撃が展開されている可能性が高いという。

これまでもSANS Instituteの研究者が攻撃の観測状況を明らかにしているが、同社では、脆弱性を悪用する攻撃コードの公開を1月11日に確認した。同日以降、脆弱性を悪用する攻撃を検知しており、翌12日には150件弱の攻撃を検知。1月14日には12日の2倍以上となる300件以上に膨らんだ。

攻撃元のIPアドレスは58％と半数以上が米国で、オランダが11％、ロシアが10％で続く。現時点で確認している攻撃は、設定ファイルを参照する攻撃が中心。取得された情報をもとに、さらなる攻撃が展開される可能性もあると危険性を指摘している。

Citrix Systemsでは、1月20日より順次アップデートを提供する予定で、現在は緩和策をアナウンスしている。また深刻な影響が予測されることから、米政府が脆弱性の影響を受けるか確認するためのツールをリリースしている。

ラックでは同製品の利用者に対し、緩和策の実施や、すでに攻撃を受けていないか確認するよう注意を呼びかけている。

（Security NEXT - 2020/01/16 ）ツイート