米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は11月9日(米国時間)、「Citrix Releases Security Updates|CISA」において、CitrixがCitrix Application Delivery Controller(ADC)、Gateway、およびSD-WAN WANOPの複数の脆弱性に対処するためのセキュリティアップデートをリリースしたことを伝えた。これらの脆弱性を悪用されると、悪意のある第三者によって対象のシステムがサービス運用妨害(DoS)状態に陥らされる危険性がある。
該当する脆弱性に関する詳細は、Citrixによる次のサポートページに掲載されている。
今回報告されているのは次の2件の脆弱性で、特にCVE-2021-22955については重要度が「Critical(致命的)」に指定されており注意が必要だ。
- CVE-2021-22955: アプライアンスがVPN(ゲートウェイ)またはAAAサーバとして構成されている場合に、認証されてない第三者からサービス運用妨害攻撃を受ける可能性がある
- CVE-2021-22956: 管理インターフェースアクセスによるNSIPまたはSNIPへのアクセスが可能な場合、管理GUI、Nitro API、およびRPC通信が一時的に中断させられる可能性がある
次のバージョンのCitrix ADCおよびCitrix Gatewayが、CVE-2021-22955およびCVE-2021-22956の影響を受けるとされている。
- 13.0-83.27より前のCitrixADCおよびCitrixGateway 13.0
- 12.1-63.22より前のCitrixADCおよびCitrixGateway 12.1
- 11.1-65.23より前のCitrixADCおよびNetScalerGateway 11.1
- 12.1-55.257より前のCitrixADC 12.1-FIPS
また、次のバージョンのCitrix SD-WAN WANOP EditionがCVE-2021-22956の影響を受けるとのことだ。
- 11.4.2より前のCitrix SD-WAN WANOP Edition 11.4
- 10.2.9cより前のCitrixSD-WAN WANOP Edition 10.2
それぞれ、最新版にアップデートすることで脆弱性の影響を回避することができる。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、Citrixによるセキュリティ情報を確認した上でできるだけ早く必要なアップデートを適用することを推奨している。