United States Computer Emergency Readiness Team (US-CERT)は7月8日(米国時間)、「Citrix Releases Security Updates|CISA」において、Citrix製のネットワーク製品に複数の脆弱性が発見されており、セキュリティアップデートがリリースされていることを伝えた。対象の脆弱性を悪用されると、攻撃者によってシステムへの侵入やサービス拒否攻撃などが行われる危険性がある。

脆弱性に関する情報は次のページにまとまっている。

Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance Security Update

Citrix provides context on Security Bulletin CTX276688 | Citrix Blogs

影響を受ける製品は下記の通り。

Citrix ADC(旧NetScaler ADC)

Citrix Gateway(旧NetScaler Gateway)

Citrix SD-WAN WANOPアプライアンスのモデル4000、4100、5000、5100

今回の報告に含まれる脆弱性は多岐にわたる。どの製品にどのような脆弱性が存在するのかについては、上記のリンク先の情報を参照いただきたい。

Citrixによれば、すでにサポートされているすべての製品およびバージョンにおいて、修正ビルドがリリースされているとのこと。修正済みのバージョンは以下の通り。

Citrix ADC and Citrix Gateway 13.0-58.30以上

Citrix ADC and NetScaler Gateway 12.1-57.18および12.1以上

Citrix ADC and NetScaler Gateway 12.0-63.21および12.0以上

Citrix ADC and NetScaler Gateway 11.1-64.14および11.1以上

NetScaler ADC and NetScaler Gateway 10.5-70.18および10.5以上

Citrix SD-WAN WANOP 11.1.1a以上

Citrix SD-WAN WANOP 11.0.3dおよび11.0以上

Citrix SD-WAN WANOP 10.2.7および10.2以上

Citrix Gateway Plug-in for Linux 1.0.0.137以上

Cybersecurity and Infrastructure Security Agency (CISA)は、ユーザーおよび管理者に対し、上記のセキュリティ情報を確認した上で、できるだけ早く必要なアップデートを適用することを推奨している。