United States Computer Emergency Readiness Team (US-CERT)は1月13日(米国時間)、「CISA Releases Test for Citrix ADC and Gateway Vulnerability|CISA」において、Citrix Application Delivery Controller (ADC)およびCitrix Gatewayソフトウェアの脆弱性(CVE-2019-19781)が存在するかどうかをテストするためのツールを公開したと伝えた。

チェックツールは次のページから入手できる。

cisagov / check-cve-2019-19781: Test a host for susceptibility to CVE-2019-19781

脆弱性に関する情報は、次のページなどにまとまっている。

CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller and Citrix Gateway

VU#619785 - Citrix Application Delivery Controller and Citrix Gateway web server vulnerability

NVD - CVE-2019-19781

CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller and Citrix Gateway

この脆弱性を悪用されると、認証されていない攻撃者によって任意のコードが実行される危険性があるとされており注意が必要。また、すでにこの脆弱性を悪用した攻撃が確認されていることから、迅速に対象プロダクトを使用しているかどうか確認するとともに、該当する場合は修正パッチが公開されるまで緩和策を実施するなどの対策を取ることが望まれる。

影響を受けるとされるプロダクトおよびバージョンは次のとおり。

Citrix ADCおよびCitrix Gatewayバージョン13.0系のすべてのサポートされているバージョン

Citrix ADCおよびNetScaler Gatewayバージョン12.1系のすべてのサポートされているバージョン

Citrix ADCおよびNetScaler Gatewayバージョン12.0系のすべてのサポートされているバージョン

Citrix ADCおよびNetScaler Gatewayバージョン11.1系のすべてのサポートされているバージョン

Citrix NetScaler ADCおよびNetScaler Gatewayバージョン10.5系のすべてのサポートされているバージョン

対象の脆弱性は高いスコアの深刻度と評価されており、緊急で対処が必要なものと分類されている。Citrixは2020年1月20日、2020年1月27日、2020年1月31日にそれぞれセキュリティパッチをリリースするとしている。該当するバージョンのセキュリティパッチ公開に注目しておくとともに、公開された場合は迅速にアップデートを適用することが望まれる。