独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月21日、NetScaler ADC(旧Citrix ADC)およびNetScaler Gateway(旧Citrix Gateway)に複数の脆弱性について発表した。影響を受けるシステムは以下の通り。
NetScaler ADCおよびNetScaler Gateway 13.1-49.13より前の13.1系のバージョン
NetScaler ADCおよびNetScaler Gateway 13.0-91.13より前の13系のバージョン
NetScaler ADC 13.1-FIPS 13.1-37.159より前の13.1-FIPS系のバージョン
NetScaler ADC 12.1-FIPS 12.1-55.297より前の12.1-FIPS系のバージョン
NetScaler ADC 12.1-NDcPP 12.1-55.297より前の12.1-NDcPP系のバージョン
※なお、すでにEOLを迎えているNetScaler ADCおよびNetScaler Gateway 12.1系も本脆弱性の影響を受ける
Citrixは現地時間7月18日に、Citrix NetScaler ADC(Citrix ADC)およびNetScaler Gateway(Citrix Gateway)における複数の脆弱性に関する情報を公開しており、本脆弱性が悪用されると、認証されていない遠隔の第三者が任意のコードを実行するなどの可能性がある。
Citrixでは、これらの脆弱性の内、リモートコード実行の脆弱性(CVE-2023-3519)について、脆弱性を悪用する攻撃を確認しており、影響を受ける製品を利用している場合、Citrixが提供する最新の情報や関連情報を確認の上で対策の適用を検討するよう呼びかけている。
Citrixでは、本脆弱性を修正した下記バージョンへのアップグレードを推奨している。
NetScaler ADCおよびNetScaler Gateway 13.1-49.13あるいはそれ以降
NetScaler ADCおよびNetScaler Gateway 13.0-91.13あるいはそれ以降の13.0系のバージョン
NetScaler ADC 13.1-FIPS 13.1-37.159あるいはそれ以降の13.1-FIPS系のバージョン
NetScaler ADC 12.1-FIPS 12.1-55.297あるいはそれ以降の12.1-FIPS系のバージョン
NetScaler ADC 12.1-NDcPP 12.1-55.297あるいはそれ以降の12.1-NDcPP系のバージョン
