CVE-2019-19781：Citrix Application Delivery Controller、Citrix Gateway、Citrix SD-WAN WANOPアプライアンスで任意のコードが実行される脆弱性について

脆弱性が発見されたのはCitrix Application Delivery Controller（ADC）（旧称NetScaler ADC）およびCitrix Gateway（旧称NetScaler Gateway）です。悪用されると、認証されていない攻撃者によって任意のコードが実行される恐れがあります。

この脆弱性のスコープには、Citrix Hypervisor（旧称XenServer）、ESX、Hyper-V、KVM、Azure、AWS、GCP上またはCitrix ADC SDX（サービスデリバリーアプライアンス）上でホストされるCitrix ADCおよびCitrix Gateway VPX（仮想アプライアンス）が含まれます。

さらに調査した結果、この問題によってCitrix SDWANの一部の展開環境（特にCitrix SDWAN WANOP Edition）も影響を受けることが判明しました。 Citrix SD-WAN WANOP Editionは、Citrix ADCをロードバランサーとしてパッケージ化しているため影響を受けることになります。

この脆弱性には次のCVE番号が割り当てられています。

• CVE-2019-19781：Citrix Application Delivery Controller、Citrix Gateway、Citrix SD-WAN WANOPアプライアンスで任意のコードが実行される脆弱性について
  
  サポートされている以下の製品バージョンが、サポートされているすべてのプラットフォームで、この脆弱性の影響を受けます。
• Citrix ADCおよびCitrix Gatewayバージョン13.0のサポートされている13.0.47.24以前のすべてのビルド
• NetScaler ADCおよびNetScaler Gatewayバージョン12.1のサポートされている12.1.55.18以前のすべてのビルド
• NetScaler ADCおよびNetScaler Gatewayバージョン12.0のサポートされている12.0.63.13以前のすべてのビルド
• NetScaler ADCおよびNetScaler Gatewayバージョン11.1のサポートされている11.1.63.15以前のすべてのビルド
• NetScaler ADCおよびNetScaler Gatewayバージョン10.5のサポートされている10.5.70.12以前のすべてのビルド
• Citrix SD-WAN WANOPアプライアンスモデル4000-WO、4100-WO、5000-WO、5100-WOの10.2.6bおよび11.0.3bより前のすべてのサポートされているソフトウェアリリースビルド

未対処のアプライアンスで既にこの脆弱性を悪用した攻撃が確認されています。 影響を受ける製品をご使用中のお客様は、ただちに修正済みビルドにアップグレードするか、指定の対処方法を実施することを強くお勧めします。この対処法は、Citrix ADC、Citrix Gateway、およびCitrix SD-WAN WANOPの展開環境に同様に適用できます。 指定の対処方法の実施を選択する場合は、可能な限り早いタイミングですべての脆弱なアプライアンスを修正済みビルドにアップグレードする必要があります。 新しい修正が利用可能になると通知が送信されるアラート https://support.citrix.com/user/alerts にも登録されることをお勧めします。

次のKnowledge Base記事には、システムが修正済みビルドに更新されるまでの間、問題を回避するための暫定的な対処方法としてレスポンダーポリシーを展開する手順が記載されています。CTX269309 - CVE-2019-19781の対処方法

対処方法の実施後、次の記事で公開されているツールを使用して問題が解決されているかどうかを検証できます。CTX269180 - CVE-2019-19781 – Verification Tool

 Citrix ADCおよびCitrix Gatewayのリリース「12.1ビルド50.28」において、レスポンダーが影響を受けてポリシーが上書きされ、ポリシー規則に一致したパケットを処理しなくなる問題が存在しています。 この問題は「12.1ビルド50.28/31」で解決されており、指定の対処方法は有効に機能します。 ただし、既にこれらのビルドを利用中のお客様は、CVE-2019-19781の問題が対応済みである「12.1ビルド55.18」以降に更新することをお勧めします。

「12.1ビルド50.28」を利用中で「12.1ビルド55.18」以降に更新することを望まないお客様は、指定の対処方法を有効にするために以下の2つのオプションのうちいずれかを選択してください。

1. 更新済みの「12.1ビルド50.28/50.31」以降に更新し、対処法を適用する。または
2. CTX267679で公開されている管理インターフェイスを保護するための対処法を適用する。 この方法を適用すると、管理インターフェイスだけでなく、GatewayおよびAAAの仮想IPを含むすべてのインターフェイスに対する攻撃が軽減されます。

 修正済みビルドはCitrix ADCおよびCitrix Gatewayのすべてのサポートされているバージョンでリリースされました。 またCitrix SD-WAN WANOPの対象アプライアンスモデルでも、修正済みビルドがリリースされています。 これらの更新は、可能な限り早いタイミングでインストールすることを強くお勧めします。 修正済みビルドは、 https://www.citrix.com/downloads/citrix-adc/、https://www.citrix.com/downloads/citrix-gateway/、https://www.citrix.com/downloads/citrix-sd-wan/からダウンロードできます。


修正されたビルドにアップグレード済みのお客様は、CTX267679に記載された対処内容を保持する必要はありません。

修正プログラムは、Citrix ADCおよびCitrix GatewayのすべてのサポートされているバージョンおよびCitrix SD-WAN WANOPの対象となるアプライアンスモデルで、更新ビルドとしてリリースされています。 リリーススケジュールは、以下のとおりです。

本件に関して、シトリックスのお客様を守るためにご協力いただいているPositive Technologies社のMikhail Klyuchnikov氏、Paddy Power Betfair plc社のGianlorenzo Cipparrone氏およびMiguel Gonzalez氏に心より感謝いたします。

シトリックスは現在、お客様およびパートナー様にこの問題に関するセキュリティ上の危険性についてお知らせしています。 本記事は、Citrix Knowledge Center（ http://support.citrix.com/）でもご覧いただけます。

この問題に関して技術的なサポートが必要な場合、シトリックスのテクニカルサポートまでお問い合わせください。 シトリックステクニカルサポートのお問い合わせ先について詳しくは、 https://www.citrix.co.jp/support/open-a-support-case/をご覧ください。

シトリックスは、シトリックス製品に関するセキュリティ上の問題に関するご報告を歓迎し、あらゆる脆弱性の可能性について真摯に対応いたします。 セキュリティ上の問題についてシトリックスに報告する場合の手順について詳しくは、次のドキュメントをご覧ください。CTX081743 – Reporting Security Issues to Citrix