United States Computer Emergency Readiness Team (US-CERT)は1月20日(米国時間)、「Critical Vulnerability in Citrix Application Delivery Controller, Gateway, and SD-WAN WANOP |CISA」において、Citrixが脆弱性「CVE-2019-19781」に対応するため、同社のプロダクトのファームウェアのアップデートを公開したと伝えた。この脆弱性を悪用されると、遠隔から任意のコードが実行される危険性があり注意が必要。

この脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

Citrix NetScaler ADCおよびNetScaler Gateway 10.5系のサポートされるすべてのバージョン

Citrix ADCおよびNetScaler Gateway 11.1系の11.1.63.15より前のすべてのサポート対象バージョン

Citrix ADCおよびNetScaler Gateway 12.0系の12.0.63.13以前のすべてのサポート対象バージョン

Citrix ADCおよびNetScaler Gateway 12.1系のサポートされているすべてのバージョン

Citrix ADCおよびCitrix Gateway 13.0系のサポートされるすべてのバージョン

Citrix SD-WAN WANOPファームウェアおよびアプライアンスモデル4000、4100、5000、5100のサポートされているすべてのバージョン

Critical Vulnerability in Citrix Application Delivery Controller, Gateway, and SD-WAN WANOP |CISA

この脆弱性に関しては、米国家安全保障局からもサイバーセキュリティアドバイザリが公開されるなど、2019年12月に情報が公開されてから数度にわたって情報セキュリティ当局やセキュリティベンダーから警告が出されている。US-CERTは以下のように、今回の脆弱性に関するイベントの流れを時系列にまとめて紹介している。

アップデート版の提供は次の日程での公開が予定されている。2020年1月19日が公開日になっているアップデートは、本稿執筆段階ですでに公開されている。

この脆弱性を悪用した攻撃は既に確認されており注意が必要。Cybersecurity and Infrastructure Security Agency (CISA)は、対象となるプロダクトのアップデートが提供されたら、迅速にアップデートを適用するように呼びかけている。