米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は11月9日(米国時間)、「Citrix Releases Security Updates for ADC and Gateway|CISA」において、Citrix ADCおよびCitrix Gatewayに複数の脆弱性が存在すると伝えた。
これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。脆弱性に関する情報は次のページにまとまっている。
- Citrix Gateway and Citrix ADC Security Bulletin for CVE-2022-27510 CVE-2022-27513 and CVE-2022-27516
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Citrix ADCおよびCitrix Gateway 13.1-33.47より前のバージョンの13.1系
- Citrix ADCおよびCitrix Gateway 13.0-88.12より前のバージョンの13.0系
- Citrix ADCおよびCitrix Gateway 12.1.65.21より前のバージョンの12.1系
- Citrix ADC 12.1-FIPS 12.1-55.289より前のバージョンの12.1-FIPS
- Citrix ADC 12.1-NDcPP 12.1-55.289より前のバージョンの12.1NDcPP
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Citrix ADCおよびCitrix Gateway 13.1-33.47およびこれ以降のバージョン
- Citrix ADCおよびCitrix Gateway 13.0-88.12およびこれ以降のバージョン
- Citrix ADCおよびCitrix Gateway 12.1.65.21およびこれ以降のバージョン
- Citrix ADC 12.1-FIPS 12.1-55.289およびこれ以降のバージョン
- Citrix ADC 12.1-NDcPP 12.1-55.289およびこれ以降のバージョン
これら脆弱性の影響はCitrix ADCおよびCitrix Gatewayアプライアンスをユーザーが管理している場合に影響を受けるとしており、Citrixが管理するクラウドサービスを使用している場合は影響を受けないとされている。
CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。