米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は8月10日(現地時間)、「Citrix Releases Security Update for ShareFile Storage Zones Controller |CISA」において、シトリックス・システムズのファイル共有ソリューション「Citrix ShareFile」に、暗号化オプションが意図せずに無効化される脆弱性が報告されていると伝えた。

この問題は、ShareFileのストレージゾーンコントローラに対してセキュリティアドバイザリ「CTX269106」で報告された脆弱性に対する緩和ツールを実行していた場合に発生するものだという。この問題に関する詳細は、シトリックスの次のページにまとめられている。

  • CTX322787: Citrix ShareFile storage zones controller security update

    CTX322787: Citrix ShareFile storage zones controller security update

シトリックスは、2020年5月にShareFileのストレージゾーンコントローラにおける脆弱性に関するセキュリティアドバイザリ「CTX269106」を公開した。CTX269106で報告された脆弱性は、認証されていない攻撃者がストレージゾーンコントローラを侵害してShareFileユーザーのドキュメントやフォルダにアクセスできるというもの。シトリックスは影響を受けるシステムに対し、セキュリティアップデートを適用した上で、指定された緩和ツールを実行することを推奨していた。

今回報告された問題は、このCTX269106の緩和ツールを実行した際にユーザーの意図とは無関係に暗号化オプションが無効にされるというもので、「CVE-2021-22932」として追跡されている。同ツールを実行していない場合、実行後に再度自分で暗号化オプションを有効にした場合は、この問題の影響は受けない。

シトリックスは、ShareFileストレージゾーンコントローラのユーザーに対し、暗号化の設定状況を確認してCVE-2021-22932の影響を受けるかどうかを確認することを推奨している。ストレージゾーンコントローラ5.10.1以降または5.11.18以降を使用している場合は、StorageLocationのEncryptionServiceSettingsファイルを表示して暗号化の設定を確認できるという。また、5.11.19以降を利用している場合は、管理ページにログインした際にこの問題の影響を受けることを通知するポップアップも表示されるとのことだ。