Citrix脆弱性をOSINTで検知 : CVE-2022-27510, CVE-2022-27518

2023.01.19 16:30

2022年度の下半期にCitrix ADCとCitrix Gatewayから2つの致命的な脆弱性の CVE-2022-27510、CVE-2022-27518 が公表されました。この2つのCitrix脆弱性はCVSSスコアが両方9.8点のCriticalが出るくらい強力な脆弱性であり、実際のハッキング攻撃にも多く悪用されているという事例が今までも続いて報告されています。

そのセキュリティ脆弱性を持っているCitrix ADCとGatewayが未だに数多くインターネットに放置されています。もちろんCitrixのHTTPバナーには正確なバージョン名が表記されていないため、CVE-2022-27510、CVE-2022-27518の脆弱性を保有するケースを正確にキャッチすることはできないという意見もあるが、それは正確な話ではありません。若干のOSINT技術を用いると、正確なCitrix ADC / Gatewayのバージョン情報を調べられ、攻撃者は分かった情報でインターネットに放置されているCitrix ADC / Gatewayのサーバーへ不法的に浸透することができます。

持続的に悪用される CVE-2022-27510、CVE-2022-27518

まず、何か月か前に報告されたCitrix ADC / Gatewayの2つの脆弱性、「 CVE-2022-27510、CVE-2022-27518 」を見てみましょう。

CVE-2022-27510：ゲートウェイの使用者機能に対する無断アクセス（Unauthorized access to Gateway user capabilities）
CVE-2022-27518：認証されていないリモート任意コードを実行

2022年11月8日にCitrixが発表したCVE-2022-27510脆弱性の説明によると、それはCitrix ADC（旧 NetScaler）及び Citrix Gatewayに影響を及ぼす認証バイパス脆弱性であり、ログインをバイパスしてCitrixに浸透できるという問題を持っているそうです。また、サイバー保険企業のアットベイ（At-Bay）のサイバー研究チームは、今年の1週目にRoyalランサムウェア・グループがそれを積極的に悪用している情況をつかんだと伝えました。

また、CVE-2022-27518に関しては2022年12月13日、NSA（National Security Agency）が「ハッキング攻撃グループのAPT5がその脆弱性を用いてCitrix ADCサーバーを積極的に悪用している」というおセキュリティ知らせをするほど深刻な問題として知られています。

インターネットに放置されたまま漏えいされたCitrix ADC / Gateway

そのように悪名高いハッカーが悪用しているという話が公式的に出るほど深刻な状況です。Criminal IPでこの脆弱性を分析してみた結果、今も数万台以上のCitrix ADC / Gateway システムがインターネットに放置されたまま漏えいされてあり、この Citrix脆弱性を持つマシーンだけでも数千台以上であることが確認されました。

Search Query: Title:"Citrix Gateway"

https://www.criminalip.io/ja/intelligence/element-analysis/search?query=title%3A%22Citrix+Gateway%22

Citrix Gatewayが漏えいされたまま放置されている国家の統計

より詳しい内容はCriminal IPで確認できます。一応、インターネットに放置されたCitrix ADC及びGatewayサーバーのアプライアンスデバイスを探すことは、Criminal IPのHTML Titleフィルターだけでもすぐ確認できます。

Search Query: Title:"Citrix Gateway"

https://www.criminalip.io/ja/asset/search?query=title%3A%22Citrix+Gateway%22

Criminal IP IT資産検索に「Title: "Citrix Gateway"」に検索した結果、
インターネットに放置されたCitrix ADC及びGatewayサーバーの
アプライアンスデバイスを探せる

OSINTを通じた Citrix脆弱性保有バージョンの確認

しかし前述したように、このHTTPバナーではバージョンの情報までは知らせないので、 CVE-2022-27510、CVE-2022-27518 の問題を持っているCitrix ADC / Gatewayシステムを探すのはなかなか難しいです。しかし、OSINT技術を使えばデバイスのバージョンを調べられる方法があります。インターネットから簡単に探せる情報で、Citrix ADC / Gatewayシステムはあるハッシュ（hash）値を持っているが、その値はバージョンごとに違うので、ハッシュ値を比較してみたらこのシステムのバージョン名が分かります。例えば、次のGithubのスクリーンショットを見ると、「26df0e65fba681faaeb333058a8b28bf」に該当するハッシュ値のバージョンは「12.1-50.28」であることが分かります。

Githubの出所：https://gist.github.com/fox-srt/c7eb3cbc6b4bf9bb5a874fa208277e86

バージョンごとの固有なハッシュ値を通じて
Citrix ADC / Gatewayシステムバージョンの情報が分かる

そして、Criminal IPで「title:"Citrix Gateway"」を検索した結果の中でランダムにバナーの情報を確認してみました。次のスクリーンショットのようにHTML body内にハッシュ値が表記されてあり、そこに書いている「2b46554c087d2d5516559e9b8bc1875d」というハッシュ値は「13.0-84.11」バージョンであることが分かります。すなわち、このIPアドレスで稼働されているCitrix Gatewayのバージョンは「13.0-84.11」なのです。

Criminal IPのバナー検索結果のハッシュ値を通じて
Citrix Gatewayのバージョン情報を確認できる

もう少しきれいに分類されたエディタを見てみると、次のようにHTMLコードにハッシュ値が構成されていることを簡単に確認できます。ここの媒介変数を見ると、「?v=6e7b2de88609868eeda0b1baf1d34a7e」のハッシュ値がURLに追加されています。

HTMLコードに表記されているハッシュ値、
Citrix ADC / Gatewayのバージョン情報を確認できる

この情報を活用して CVE-2022-27510、CVE-2022-27518 脆弱性に漏えいされているCitrix ADC / Gatewayバージョン情報を確認できました。そして、次の内容は、バージョンごとにCVE-2022-27510またはCVE-2022-27518をサンプルとしていくつだけマッピングしてみた一覧です。

脆弱なCitrix ADC / Gatewayのバージョン

12.1-65.21 (CVE-2022-27518 脆弱性が存在)
12.1-63.22 (CVE-2022-27510 & CVE-2022-27518 脆弱性が存在)
13.0-58.32 (CVE-2022-27510 脆弱性が存在)
12.1-57.18 (CVE-2022-27510 & CVE-2022-27518 脆弱性が存在)
13.0-47.24 (CVE-2022-27510 & CVE-2022-27518 脆弱性が存在)
12.1-63.23 (CVE-2022-27510 & CVE-2022-27518 脆弱性が存在)
12.1-55.18 (CVE-2022-27510 & CVE-2022-27518 脆弱性が存在)
12.1-65.15 (CVE-2022-27510 & CVE-2022-27518 脆弱性が存在)
13.0-83.27 (CVE-2022-27510 脆弱性が存在)
13.0-83.29 (CVE-2022-27510 脆弱性が存在)
12.1-62.27 (CVE-2022-27510 脆弱性が存在)
13.0-87.9 (CVE-2022-27510 脆弱性が存在)
13.0-52.24 (CVE-2022-27510 & CVE-2022-27518 脆弱性が存在)
13.0-71.44 (CVE-2022-27510 脆弱性が存在)

ハッシュ値で脆弱なCitrixバージョンを確認

このような方法を応用すれば、Citrix ADC / Gatewayが持つ深刻なセキュリティ脆弱性の CVE-2022-27510、CVE-2022-27518 を保有中のシステムを正確に特定できます。そうすると、これからはそのハッシュ値をすぐ利用して検索することができます。例えば、脆弱なバージョン（12.1-65.21）だけを確認しようとしたら、このバージョンにハッシュ値をそのまま検索に利用するといいです。

Search Query: "Citrix Gateway" "c1b64cea1b80e973580a73b787828daf" country: JP

https://www.criminalip.io/ja/asset/search?query=%22Citrix+Gateway%22+%22c1b64cea1b80e973580a73b787828daf%22+country%3A+JP

脆弱なバージョンのハッシュ値を利用した検索クエリ、
脆弱なバージョンを使用するIPアドレスを検索できる

無断アクセス、任意コードの実行までできる深刻な脆弱性が発見されたが、まさか、どんなバージョンを使っているかが分からなくてセキュリティ脅威に対応できないわけにはいきません。Citrixのバージョン情報が公開されていないとしても、OSINT情報を通じて調べた特定バージョンのハッシュ値を検索してみると、 Citrix脆弱性を保有するIT資産を職別できます。去年、CVEが公表された後から悪用の事例が持続的に報告され、思ったより多くのバージョンが CVE-2022-27510、CVE-2022-27518 の脆弱性に漏えいされているので、早いセキュリティ対応が必要となります。

関連しては Fortinet認証バイパス脆弱性CVE-2022-40684セキュリティ点検の重要性について語った投稿をご参照ください。

データの提供

Criminal IP
▶ https://www.criminalip.io/ja

ご参照

https://blog.criminalip.io/ja/2022/11/03/fortinet認証バイパス脆弱性/

【公式】Criminal IP Japanブログ

サイバー脅威インテリジェンス検索エンジンCriminal IPが収集・分析したあらゆるサイバーセキュリティ・脆弱性情報、サイバー攻撃対策やCriminal IPの検索コツなどをお届けします。

0コメント

1000 / 1000