米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は9月9日(現地時間)、「Citrix Releases Security Updates for Hypervisor|CISA」において、シトリックスシステムズがHypervisorの複数の脆弱性を修正するセキュリティアップデートをリリースしたと伝えた。これらの脆弱性を悪用されると、攻撃者によって対象システムのゲストVMで特権コードが実行され、ホストが危険にさらされたり、クラッシュさせられたりする危険性があるという。

セキュリティアップデートに関する情報は次のページにまとめられている。

  • CTX325319: Citrix Hypervisor Security Update

    CTX325319: Citrix Hypervisor Security Update

このアップデートでは、CVEベースで以下の5件の脆弱性が修正されている。

  • CVE-2021-28694
  • CVE-2021-28697
  • CVE-2021-28698
  • CVE-2021-28699
  • CVE-2021-28701

シトリックスによると、CVE-2021-28699を除く4件の脆弱性については、現在サポートされているすべてのバージョンのCitrix Hypervisorが影響を受けるという。CVE-2021-28699は、Citrix Hypervisor 8.2 LTSRのみが対象バージョンとなっている。

同社では、これらの脆弱性に対処した以下のホットフィクスをリリースしており、パッチのスケジュールが許す限りこれらの修正プログラムをインストールすることを勧めている

  • CitrixHypervisor 8.2 LTSR
  • Citrix Hypervisor 7.1 LTSR CU2