Citrix製品の重大な脆弱性まとめ、アップデートが一部開始 - すぐに適用を

United States Computer Emergency Readiness Team (US-CERT)は1月20日(米国時間)、「Critical Vulnerability in Citrix Application Delivery Controller, Gateway, and SD-WAN WANOP ｜CISA」において、Citrixが脆弱性「CVE-2019-19781」に対応するため、同社のプロダクトのファームウェアのアップデートを公開したと伝えた。この脆弱性を悪用されると、遠隔から任意のコードが実行される危険性があり注意が必要。

この脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

Citrix NetScaler ADCおよびNetScaler Gateway 10.5系のサポートされるすべてのバージョン
Citrix ADCおよびNetScaler Gateway 11.1系の11.1.63.15より前のすべてのサポート対象バージョン
Citrix ADCおよびNetScaler Gateway 12.0系の12.0.63.13以前のすべてのサポート対象バージョン
Citrix ADCおよびNetScaler Gateway 12.1系のサポートされているすべてのバージョン
Citrix ADCおよびCitrix Gateway 13.0系のサポートされるすべてのバージョン
Citrix SD-WAN WANOPファームウェアおよびアプライアンスモデル4000、4100、5000、5100のサポートされているすべてのバージョン

Critical Vulnerability in Citrix Application Delivery Controller, Gateway, and SD-WAN WANOP ｜CISA

この脆弱性に関しては、米国家安全保障局からもサイバーセキュリティアドバイザリが公開されるなど、2019年12月に情報が公開されてから数度にわたって情報セキュリティ当局やセキュリティベンダーから警告が出されている。US-CERTは以下のように、今回の脆弱性に関するイベントの流れを時系列にまとめて紹介している。

年月日	内容
2019-12-17	Citrixがセキュリティ情報CTX267027を公開
2020-01-08	CERT Coordination Centerが脆弱性ノートVU＃619785を公開(Citrix Application Delivery ControllerおよびCitrix Gateway Webサーバーのセキュリティ脆弱性)
2020-01-10	国家安全保障局がCVE-2019-19781のサイバーセキュリティアドバイザリを公開
2020-1-11	CitrixがCVE-2019-19781に関するブログを公開
2020-1-13	CISAがCitrix ADCおよびCitrix GatewayファームウェアがCVE-2019-19781脆弱性の影響を受けやすいかどうかをテストできるユーティリティ公開
2020-1-16	CitrixがCitrix SD-WAN WANOPアプライアンスもCVE-2019-19781に対して脆弱であることを発表
2020-1-19	CitrixがCitrix ADCおよびCitrix Gatewayバージョン11.1および12.0のファームウェアアップデートを公開

アップデート版の提供は次の日程での公開が予定されている。2020年1月19日が公開日になっているアップデートは、本稿執筆段階ですでに公開されている。

プロダクト	日程
Citrix ADCおよびCitrix Gateway 10.5系	2020-01-24（予定）
Citrix ADCおよびCitrix Gateway 11.1系	2020-01-19
Citrix ADCおよびCitrix Gateway 12.0系	2020-01-19
Citrix ADCおよびCitrix Gateway 12.1系	2020-01-24（予定）
Citrix ADCおよびCitrix Gateway 13.0系	2020-01-24（予定）
Citrix SD-WAN WANOPリリース10.2.6	2020-01-24（予定）
Citrix SD-WAN WANOPリリース11.0.3	2020-01-24（予定）