United States Computer Emergency Readiness Team (US-CERT)は1月20日(米国時間)、「Critical Vulnerability in Citrix Application Delivery Controller, Gateway, and SD-WAN WANOP |CISA」において、Citrixが脆弱性「CVE-2019-19781」に対応するため、同社のプロダクトのファームウェアのアップデートを公開したと伝えた。この脆弱性を悪用されると、遠隔から任意のコードが実行される危険性があり注意が必要。

この脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

  • Citrix NetScaler ADCおよびNetScaler Gateway 10.5系のサポートされるすべてのバージョン
  • Citrix ADCおよびNetScaler Gateway 11.1系の11.1.63.15より前のすべてのサポート対象バージョン
  • Citrix ADCおよびNetScaler Gateway 12.0系の12.0.63.13以前のすべてのサポート対象バージョン
  • Citrix ADCおよびNetScaler Gateway 12.1系のサポートされているすべてのバージョン
  • Citrix ADCおよびCitrix Gateway 13.0系のサポートされるすべてのバージョン
  • Citrix SD-WAN WANOPファームウェアおよびアプライアンスモデル4000、4100、5000、5100のサポートされているすべてのバージョン
  • Critical Vulnerability in Citrix Application Delivery Controller、Gateway、and SD-WAN WANOP |CISA

    Critical Vulnerability in Citrix Application Delivery Controller, Gateway, and SD-WAN WANOP |CISA

この脆弱性に関しては、米国家安全保障局からもサイバーセキュリティアドバイザリが公開されるなど、2019年12月に情報が公開されてから数度にわたって情報セキュリティ当局やセキュリティベンダーから警告が出されている。US-CERTは以下のように、今回の脆弱性に関するイベントの流れを時系列にまとめて紹介している。

年月日 内容
2019-12-17 Citrixがセキュリティ情報CTX267027を公開
2020-01-08 CERT Coordination Centerが脆弱性ノートVU#619785を公開(Citrix Application Delivery ControllerおよびCitrix Gateway Webサーバーのセキュリティ脆弱性)
2020-01-10 国家安全保障局がCVE-2019-19781のサイバーセキュリティアドバイザリを公開
2020-1-11 CitrixがCVE-2019-19781に関するブログを公開
2020-1-13 CISAがCitrix ADCおよびCitrix GatewayファームウェアがCVE-2019-19781脆弱性の影響を受けやすいかどうかをテストできるユーティリティ公開
2020-1-16 CitrixがCitrix SD-WAN WANOPアプライアンスもCVE-2019-19781に対して脆弱であることを発表
2020-1-19 CitrixがCitrix ADCおよびCitrix Gatewayバージョン11.1および12.0のファームウェアアップデートを公開

アップデート版の提供は次の日程での公開が予定されている。2020年1月19日が公開日になっているアップデートは、本稿執筆段階ですでに公開されている。

プロダクト 日程
Citrix ADCおよびCitrix Gateway 10.5系 2020-01-24(予定)
Citrix ADCおよびCitrix Gateway 11.1系 2020-01-19
Citrix ADCおよびCitrix Gateway 12.0系 2020-01-19
Citrix ADCおよびCitrix Gateway 12.1系 2020-01-24(予定)
Citrix ADCおよびCitrix Gateway 13.0系 2020-01-24(予定)
Citrix SD-WAN WANOPリリース10.2.6 2020-01-24(予定)
Citrix SD-WAN WANOPリリース11.0.3 2020-01-24(予定)

この脆弱性を悪用した攻撃は既に確認されており注意が必要。Cybersecurity and Infrastructure Security Agency (CISA)は、対象となるプロダクトのアップデートが提供されたら、迅速にアップデートを適用するように呼びかけている。