米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は7月20日(米国時間)、「Citrix Releases Security Updates |CISA」において、米シトリックス・システムズが複数製品の脆弱性に対応するためのセキュリティアップデートをリリースしたと伝えた。対象の製品はCitrix Application Delivery Controller(ADC)、Citrix Gateway、Citrix SD-WAN WANOP Editionで、これらの脆弱性を悪用されると、不正なディスクスペースの消費や認証のハイジャックなどを行われる危険性があるという。
セキュリティアップデートに関する詳細はCitrixによる次のページにまとめられている。
今回のアップデートには、次の3つの脆弱性に対する修正が含まれている。
- CVE-2021-22919: アプライアンスのディスクスペースの消費
- CVE-2021-22920: 有効なユーザセッションを盗むフィッシング攻撃によるSAML認証ハイジャック
- CVE-2021-22927: SAML SPにおける許可されたユーザによるセッションの固定
CVE-2021-22919は、Citrix ADCとCitrix Gateway、およびCitrix SD-WAN WANOP Editionの3製品が影響を受ける。CVE-2021-22920とCVE-2021-22927は、Citrix ADC、Citrix Gatewayが影響を受ける。具体的なバージョンは上記のアップデート情報を参照のこと。いずれの製品も、脆弱性を修正した最新バージョンがリリースされているので、必要に応じてアップデートを適用することが推奨される。