United States Computer Emergency Readiness Team (US-CERT)は1月13日(米国時間)、「CISA Releases Test for Citrix ADC and Gateway Vulnerability|CISA」において、Citrix Application Delivery Controller (ADC)およびCitrix Gatewayソフトウェアの脆弱性(CVE-2019-19781)が存在するかどうかをテストするためのツールを公開したと伝えた。

チェックツールは次のページから入手できる。

脆弱性に関する情報は、次のページなどにまとまっている。

  • CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller and Citrix Gateway

    CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller and Citrix Gateway

この脆弱性を悪用されると、認証されていない攻撃者によって任意のコードが実行される危険性があるとされており注意が必要。また、すでにこの脆弱性を悪用した攻撃が確認されていることから、迅速に対象プロダクトを使用しているかどうか確認するとともに、該当する場合は修正パッチが公開されるまで緩和策を実施するなどの対策を取ることが望まれる。

影響を受けるとされるプロダクトおよびバージョンは次のとおり。

  • Citrix ADCおよびCitrix Gatewayバージョン13.0系のすべてのサポートされているバージョン
  • Citrix ADCおよびNetScaler Gatewayバージョン12.1系のすべてのサポートされているバージョン
  • Citrix ADCおよびNetScaler Gatewayバージョン12.0系のすべてのサポートされているバージョン
  • Citrix ADCおよびNetScaler Gatewayバージョン11.1系のすべてのサポートされているバージョン
  • Citrix NetScaler ADCおよびNetScaler Gatewayバージョン10.5系のすべてのサポートされているバージョン

対象の脆弱性は高いスコアの深刻度と評価されており、緊急で対処が必要なものと分類されている。Citrixは2020年1月20日、2020年1月27日、2020年1月31日にそれぞれセキュリティパッチをリリースするとしている。該当するバージョンのセキュリティパッチ公開に注目しておくとともに、公開された場合は迅速にアップデートを適用することが望まれる。