Citrixは2022年11月8日(米国時間)および2022年12月13日(米国時間)にセキュリティアドバイザリを発行し、「Citrix ADC」および「Citrix Gateway」に脆弱性が存在すると伝えた。脆弱性はリモートからの攻撃が可能なものであり、深刻度は緊急(Critical)に分類されている。当局もアクティブな悪用を確認しているとしてアップデートの適用を呼びかけている。
- Citrix Gateway and Citrix ADC Security Bulletin for CVE-2022-27510 CVE-2022-27513 and CVE-2022-27516
- Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27518
しかし依然として、この脆弱性に対してパッチが適用されないままになっているプロダクトが多いことが、Fox-ITが12月28日(現地時間)に公開した調査結果「CVE-2022-27510, CVE-2022-27518 – Measuring Citrix ADC & Gateway version adoption on the Internet – Fox-IT International blog」において明らかになった。
-
CVE-2022-27510, CVE-2022-27518 – Measuring Citrix ADC & Gateway version adoption on the Internet – Fox-IT International blog
Fox-ITの調査によると、CVE-2022-27510およびCVE-2022-27518の双方の脆弱性を修正したサーバの割合はどの国や地域においても半数前後となっている。最もサーバ数が多いとみられる米国では双方ともにアップデートしている割合は42%で、次にサーバ数が多いドイツのアップデート割合は57%、次の英国のアップデート割合は45%となっている。
日本はサーバ数は18位で他国と比べてそれほど多くないと推測されているが、アップデートの割合は33%と低く、運用されているサーバの7割近くが脆弱な状態で運用されている可能性が指摘されている。
Oracleが顧客情報流出を認める、データは古いが認証情報を含む
