Citrix脆弱性をOSINTで検知 : CVE-2022-27510, CVE-2022-27518
そのセキュリティ脆弱性を持っているCitrix ADCとGatewayが未だに数多くインターネットに放置されています。もちろんCitrixのHTTPバナーには正確なバージョン名が表記されていないため、CVE-2022-27510、CVE-2022-27518の脆弱性を保有するケースを正確にキャッチすることはできないという意見もあるが、それは正確な話ではありません。若干のOSINT技術を用いると、正確なCitrix ADC / Gatewayのバージョン情報を調べられ、攻撃者は分かった情報でインターネットに放置されているCitrix ADC / Gatewayのサーバーへ不法的に浸透することができます。
持続的に悪用される CVE-2022-27510、CVE-2022-27518
まず、何か月か前に報告されたCitrix ADC / Gatewayの2つの脆弱性、「 CVE-2022-27510、CVE-2022-27518 」を見てみましょう。
- CVE-2022-27510:ゲートウェイの使用者機能に対する無断アクセス(Unauthorized access to Gateway user capabilities)
- CVE-2022-27518:認証されていないリモート任意コードを実行
2022年11月8日にCitrixが発表したCVE-2022-27510脆弱性の説明によると、それはCitrix ADC(旧 NetScaler)及び Citrix Gatewayに影響を及ぼす認証バイパス脆弱性であり、ログインをバイパスしてCitrixに浸透できるという問題を持っているそうです。また、サイバー保険企業のアットベイ(At-Bay)のサイバー研究チームは、今年の1週目にRoyalランサムウェア・グループがそれを積極的に悪用している情況をつかんだと伝えました。
また、CVE-2022-27518に関しては2022年12月13日、NSA(National Security Agency)が 「ハッキング攻撃グループのAPT5がその脆弱性を用いてCitrix ADCサーバーを積極的に悪用している」 というおセキュリティ知らせをするほど深刻な問題として知られています。
インターネットに放置されたまま漏えいされたCitrix ADC / Gateway
そのように悪名高いハッカーが悪用しているという話が公式的に出るほど深刻な状況です。Criminal IPでこの脆弱性を分析してみた結果、今も数万台以上のCitrix ADC / Gateway システムがインターネットに放置されたまま漏えいされてあり、この Citrix脆弱性 を持つマシーンだけでも数千台以上であることが確認されました。
Search Query: Title:"Citrix Gateway"
- https://www.criminalip.io/ja/intelligence/element-analysis/search?query=title%3A%22Citrix+Gateway%22
より詳しい内容はCriminal IPで確認できます。一応、インターネットに放置されたCitrix ADC及びGatewayサーバーのアプライアンスデバイスを探すことは、Criminal IPのHTML Titleフィルターだけでもすぐ確認できます。
Search Query: Title:"Citrix Gateway"
インターネットに放置されたCitrix ADC及びGatewayサーバーの
アプライアンスデバイスを探せる
OSINTを通じた Citrix脆弱性 保有バージョンの確認
しかし前述したように、このHTTPバナーではバージョンの情報までは知らせないので、 CVE-2022-27510、CVE-2022-27518 の問題を持っているCitrix ADC / Gatewayシステムを探すのはなかなか難しいです。しかし、OSINT技術を使えばデバイスのバージョンを調べられる方法があります。インターネットから簡単に探せる情報で、Citrix ADC / Gatewayシステムはあるハッシュ(hash)値を持っているが、その値はバージョンごとに違うので、ハッシュ値を比較してみたらこのシステムのバージョン名が分かります。例えば、次のGithubのスクリーンショットを見ると、「26df0e65fba681faaeb333058a8b28bf」に該当するハッシュ値のバージョンは「12.1-50.28」であることが分かります。
Citrix ADC / Gatewayシステムバージョンの情報が分かる
そして、Criminal IPで「title:"Citrix Gateway"」を検索した結果の中でランダムにバナーの情報を確認してみました。次のスクリーンショットのようにHTML body内にハッシュ値が表記されてあり、そこに書いている「2b46554c087d2d5516559e9b8bc1875d」というハッシュ値は「13.0-84.11」バージョンであることが分かります。すなわち、このIPアドレスで稼働されているCitrix Gatewayのバージョンは「13.0-84.11」なのです。
Citrix Gatewayのバージョン情報を確認できる
もう少しきれいに分類されたエディタを見てみると、次のようにHTMLコードにハッシュ値が構成されていることを簡単に確認できます。ここの媒介変数を見ると、「?v=6e7b2de88609868eeda0b1baf1d34a7e」のハッシュ値がURLに追加されています。
Citrix ADC / Gatewayのバージョン情報を確認できる
この情報を活用して CVE-2022-27510、CVE-2022-27518 脆弱性に漏えいされているCitrix ADC / Gatewayバージョン情報を確認できました。そして、次の内容は、バージョンごとにCVE-2022-27510またはCVE-2022-27518をサンプルとしていくつだけマッピングしてみた一覧です。
脆弱なCitrix ADC / Gatewayのバージョン
- 12.1-65.21 (CVE-2022-27518 脆弱性が存在)
- 12.1-63.22 (CVE-2022-27510 & CVE-2022-27518 脆弱性が存在)
- 13.0-58.32 (CVE-2022-27510 脆弱性が存在)
- 12.1-57.18 (CVE-2022-27510 & CVE-2022-27518 脆弱性が存在)
- 13.0-47.24 (CVE-2022-27510 & CVE-2022-27518 脆弱性が存在)
- 12.1-63.23 (CVE-2022-27510 & CVE-2022-27518 脆弱性が存在)
- 12.1-55.18 (CVE-2022-27510 & CVE-2022-27518 脆弱性が存在)
- 12.1-65.15 (CVE-2022-27510 & CVE-2022-27518 脆弱性が存在)
- 13.0-83.27 (CVE-2022-27510 脆弱性が存在)
- 13.0-83.29 (CVE-2022-27510 脆弱性が存在)
- 12.1-62.27 (CVE-2022-27510 脆弱性が存在)
- 13.0-87.9 (CVE-2022-27510 脆弱性が存在)
- 13.0-52.24 (CVE-2022-27510 & CVE-2022-27518 脆弱性が存在)
- 13.0-71.44 (CVE-2022-27510 脆弱性が存在)
ハッシュ値で脆弱なCitrixバージョンを確認
このような方法を応用すれば、Citrix ADC / Gatewayが持つ深刻なセキュリティ脆弱性の CVE-2022-27510、CVE-2022-27518 を保有中のシステムを正確に特定できます。そうすると、これからはそのハッシュ値をすぐ利用して検索することができます。例えば、脆弱なバージョン(12.1-65.21)だけを確認しようとしたら、このバージョンにハッシュ値をそのまま検索に利用するといいです。
Search Query: "Citrix Gateway" "c1b64cea1b80e973580a73b787828daf" country: JP
脆弱なバージョンを使用するIPアドレスを検索できる
無断アクセス、任意コードの実行までできる深刻な脆弱性が発見されたが、まさか、どんなバージョンを使っているかが分からなくてセキュリティ脅威に対応できないわけにはいきません。Citrixのバージョン情報が公開されていないとしても、OSINT情報を通じて調べた特定バージョンのハッシュ値を検索してみると、 Citrix脆弱性を保有するIT資産を職別できます。去年、CVEが公表された後から悪用の事例が持続的に報告され、思ったより多くのバージョンが CVE-2022-27510、CVE-2022-27518 の脆弱性に漏えいされているので、早いセキュリティ対応が必要となります。
関連しては Fortinet認証バイパス脆弱性CVE-2022-40684セキュリティ点検の重要性について語った投稿 をご参照ください。
データの提供
- Criminal IP
▶ https://www.criminalip.io/ja