独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月14日、Citrix ADC(Application Delivery Controller)およびCitrix Gatewayの脆弱性について注意喚起を発表した。
Citrix ADCおよびCitrix Gatewayは、ネットワークを構築するためのアプライアンス製品。これらの製品に、任意のコード実行の脆弱性が確認された。同脆弱性が悪用されると、認証されていないリモートの第三者によって任意のコードを実行される可能性がある。
影響を受ける製品は次の通り。当該製品がSAML SPあるいはSAML IdPとして設定されている場合に影響を受ける。
・Citrix ADCおよびCitrix Gateway 13.0-58.32より前の13.0系のバージョン
・Citrix ADCおよびCitrix Gateway 12.1-65.25より前の12.1系のバージョン
・Citrix ADC 12.1-FIPS 12.1-55.291より前の12.1-FIPS系のバージョン
・Citrix ADC 12.1-NDcPP 12.1-55.291より前の12.1-NDcPP系のバージョン
なお、Citrix ADCおよびCitrix Gateway バージョン 13.1は、同脆弱性の影響を受けないとしている。
Citruixによると、同脆弱性を悪用した攻撃が確認されている。IPAおよびJPCERT/CCでは、今後被害が拡大するおそれがあるため、早急にアップデートを実施するよう呼びかけている。
脆弱性を修正した最新のバージョンは次の通り。
・Citrix ADCおよびCitrix Gateway 13.0-58.32あるいはそれ以降の13.0 系
・Citrix ADCおよびCitrix Gateway 12.1-65.25あるいはそれ以降の12.1 系
・Citrix ADC 12.1-FIPS 12.1-55.291あるいはそれ以降の12.1-FIPS 系
・Citrix ADC 12.1-NDcPP 12.1-55.291あるいはそれ以降の12.1-NDcPP 系
