CitrixとFireEyeは、12月に公開され月曜日にようやく修正された注目度の高いCVE-2019-19781の脆弱性によってサーバーがハッキングされたかどうかを管理者が確認できるようにするための新しいセキュリティツールをリリースしました。
Apache 2.0オープンソースライセンスの下で提供されるこの無料アプリケーションは、CitrixのApplication Delivery ControllerおよびGateway製品に存在する、いわゆる「Shitrix」と呼ばれる任意コード実行脆弱性の侵害兆候をデバイス上でスキャンします。このツールは、Citrixのあらゆるインスタンス上で実行でき、侵入の兆候をチェックできます。
最近発見された「Notrobin」マルウェアを含む、実際の攻撃から収集されたサンプルの一部を使用して、スキャナーの開発者はアプリを組み立てることができました。
「このツールは、CitrixのCitrix ADCおよびGateway製品とCVE-2019-19781に関する技術的知識と、業界をリードするFireEye Mandiantのフォレンジックの専門知識、および最近のCVE-2019-19781関連の侵害に関する最新の知識を組み合わせたものです」とCitrixは述べています。
悪意のある人物が何千台もの脆弱なボックスを狙う中、CitrixはついにGatewayとADCのハイジャックの穴を埋めるパッチをリリースした。
続きを読む
Citrix社は、このツールは特定の侵害指標(IOC)のみを検出すると警告している。これは、悪意のある人物がバグを悪用してマシンにアクセスしたことを示す明確な兆候である。脆弱性スキャナーとして設計されたものではなく、他の脆弱性に対する攻撃を確実に検出できる保証はない。
「このツールは、システムが侵害されていないと断言するものではありません。IoC(侵害の兆候)が特定された場合にのみ通知します」とFireEyeは警告した。
「また、侵害を受けたシステム上で特定されたすべての悪意のあるツールやスクリプトの正式なマルウェア ファミリ名も提供されません。また、システム上のすべてのマルウェアの存在や侵害の証拠も特定されません。」
それでも、この無料スキャナーを使用すれば、管理者は少なくとも Citrix 機器の状態を大まかに把握できるようになります。®
