米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は7月13日(米国時間)、「Citrix Releases Security Updates for Virtual Apps and Desktops |CISA」において、Citrix Virtual Apps and Desktops(Citrix VDA)に特権昇格の脆弱性が存在し、開発元がセキュリティアップデートをリリースしたと伝えた。

この脆弱性を悪用されると、攻撃者によってWindows VDAの特権レベルがSYSTEMに昇格され、対象システムの制御権を奪われる危険性があるという。セキュリティアップデートに関するに関する情報はCitroxによる次のページにまとめられている。

  • CTX319750: Citrix Virtual Apps and Desktops Security Update

    CTX319750: Citrix Virtual Apps and Desktops Security Update

影響を受けるとされているアプリケーションおよびバージョンは以下のとおり。

  • Citrix Virtual Apps and Desktops 2106以前のバージョン
  • Citrix Virtual Apps and Desktops 1912 LTSRCU3および1912LTSR以前のバージョン
  • Citrix XenApp / XenDesktop 7.15 LTSRCU7および7.15LTSR以前のバージョン

この脆弱性を悪用するには、前提としてCitrix Profile ManagementまたはCitrix Profile Management WMIプラグインがインストールされたWindwos VDAに対する認証済みのアクセス権限が必要になるという。また、Citrix Virtual Apps and Desktops 2106については、Citrix Profile ManagementがWindows VDAにインストールされている場合にのみ影響を受けるとのことだ。

該当するバージョンのCitrix VDAを利用している場合は、Citrixがリリースした修正バージョンにアップデートすることで問題を回避することができる。影響を受ける両方のコンポーネントをインストールしている場合は、それぞれの修正プログラムを両方インストールする必要があるとのこと。