最新の情報については、CTX267027を参照してください。
問題の内容
脆弱性が発見されたのはCitrix Application Delivery Controller(ADC)(旧称NetScaler ADC)およびCitrix Gateway(旧称NetScaler Gateway)です。悪用されると、認証されていない攻撃者によって任意のコードが実行される恐れがあります。
この脆弱性のスコープには、Citrix Hypervisor(旧称XenServer)、ESX、Hyper-V、KVM、Azure、AWS、GCP上またはCitrix ADC SDX(サービスデリバリーアプライアンス)上でホストされるCitrix ADCおよびCitrix Gateway VPX(仮想アプライアンス)が含まれます。
さらに調査した結果、この問題によってCitrix SDWANの一部の展開環境(特にCitrix SDWAN WANOP Edition)も影響を受けることが判明しました。 Citrix SD-WAN WANOP Editionは、Citrix ADCをロードバランサーとしてパッケージ化しているため影響を受けることになります。
この脆弱性には次のCVE番号が割り当てられています。
- CVE-2019-19781:Citrix Application Delivery Controller、Citrix Gateway、Citrix SD-WAN WANOPアプライアンスで任意のコードが実行される脆弱性について
サポートされている以下の製品バージョンが、サポートされているすべてのプラットフォームで、この脆弱性の影響を受けます。 - Citrix ADCおよびCitrix Gatewayバージョン13.0のサポートされている13.0.47.24以前のすべてのビルド
- NetScaler ADCおよびNetScaler Gatewayバージョン12.1のサポートされている12.1.55.18以前のすべてのビルド
- NetScaler ADCおよびNetScaler Gatewayバージョン12.0のサポートされている12.0.63.13以前のすべてのビルド
- NetScaler ADCおよびNetScaler Gatewayバージョン11.1のサポートされている11.1.63.15以前のすべてのビルド
- NetScaler ADCおよびNetScaler Gatewayバージョン10.5のサポートされている10.5.70.12以前のすべてのビルド
- Citrix SD-WAN WANOPアプライアンスモデル4000-WO、4100-WO、5000-WO、5100-WOの10.2.6bおよび11.0.3bより前のすべてのサポートされているソフトウェアリリースビルド
推奨される対処法
未対処のアプライアンスで既にこの脆弱性を悪用した攻撃が確認されています。 影響を受ける製品をご使用中のお客様は、ただちに修正済みビルドにアップグレードするか、指定の対処方法を実施することを強くお勧めします。この対処法は、Citrix ADC、Citrix Gateway、およびCitrix SD-WAN WANOPの展開環境に同様に適用できます。 指定の対処方法の実施を選択する場合は、可能な限り早いタイミングですべての脆弱なアプライアンスを修正済みビルドにアップグレードする必要があります。 新しい修正が利用可能になると通知が送信されるアラート https://support.citrix.com/user/alerts にも登録されることをお勧めします。
次のKnowledge Base記事には、システムが修正済みビルドに更新されるまでの間、問題を回避するための暫定的な対処方法としてレスポンダーポリシーを展開する手順が記載されています。CTX269309 - CVE-2019-19781の対処方法
対処方法の実施後、次の記事で公開されているツールを使用して問題が解決されているかどうかを検証できます。CTX269180 - CVE-2019-19781 – Verification Tool
Citrix ADCおよびCitrix Gatewayのリリース「12.1ビルド50.28」において、レスポンダーが影響を受けてポリシーが上書きされ、ポリシー規則に一致したパケットを処理しなくなる問題が存在しています。 この問題は「12.1ビルド50.28/31」で解決されており、指定の対処方法は有効に機能します。 ただし、既にこれらのビルドを利用中のお客様は、CVE-2019-19781の問題が対応済みである「12.1ビルド55.18」以降に更新することをお勧めします。
「12.1ビルド50.28」を利用中で「12.1ビルド55.18」以降に更新することを望まないお客様は、指定の対処方法を有効にするために以下の2つのオプションのうちいずれかを選択してください。
- 更新済みの「12.1ビルド50.28/50.31」以降に更新し、対処法を適用する。または
- CTX267679で公開されている管理インターフェイスを保護するための対処法を適用する。 この方法を適用すると、管理インターフェイスだけでなく、GatewayおよびAAAの仮想IPを含むすべてのインターフェイスに対する攻撃が軽減されます。
修正済みビルドはCitrix ADCおよびCitrix Gatewayのすべてのサポートされているバージョンでリリースされました。 またCitrix SD-WAN WANOPの対象アプライアンスモデルでも、修正済みビルドがリリースされています。 これらの更新は、可能な限り早いタイミングでインストールすることを強くお勧めします。 修正済みビルドは、 https://www.citrix.com/downloads/citrix-adc/、https://www.citrix.com/downloads/citrix-gateway/、https://www.citrix.com/downloads/citrix-sd-wan/からダウンロードできます。
修正されたビルドにアップグレード済みのお客様は、CTX267679に記載された対処内容を保持する必要はありません。
修正スケジュール
修正プログラムは、Citrix ADCおよびCitrix GatewayのすべてのサポートされているバージョンおよびCitrix SD-WAN WANOPの対象となるアプライアンスモデルで、更新ビルドとしてリリースされています。 リリーススケジュールは、以下のとおりです。
Citrix ADCおよびCitrix Gateway | ||
バージョン | 更新ビルド | リリース日 |
10.5 | 10.5.70.12 | 2020年1月24日(リリース済み) |
11.1 | 11.1.63.15 | 2020年1月19日(リリース済み) |
12.0 | 12.0.63.13 | 2020年1月19日(リリース済み) |
12.1 | 12.1.55.x | 2020年1月23日(リリース済み) |
13.0 | 13.0.47.x | 2020年1月23日(リリース済み) |
Citrix SD-WAN WANOP | ||
リリース | Citrix ADCリリース | リリース日 |
10.2.6b | 11.1.51.615 | 2020年1月22日(リリース済み) |
11.0.3b | 11.1.51.615 | 2020年1月22日(リリース済み) |
謝辞
本件に関して、シトリックスのお客様を守るためにご協力いただいているPositive Technologies社のMikhail Klyuchnikov氏、Paddy Power Betfair plc社のGianlorenzo Cipparrone氏およびMiguel Gonzalez氏に心より感謝いたします。
シトリックスの対応について
シトリックスは現在、お客様およびパートナー様にこの問題に関するセキュリティ上の危険性についてお知らせしています。 本記事は、Citrix Knowledge Center( http://support.citrix.com/)でもご覧いただけます。
この問題に関するサポートが必要な場合
この問題に関して技術的なサポートが必要な場合、シトリックスのテクニカルサポートまでお問い合わせください。 シトリックステクニカルサポートのお問い合わせ先について詳しくは、 https://www.citrix.co.jp/support/open-a-support-case/をご覧ください。
セキュリティ上の脆弱性の報告
シトリックスは、シトリックス製品に関するセキュリティ上の問題に関するご報告を歓迎し、あらゆる脆弱性の可能性について真摯に対応いたします。 セキュリティ上の問題についてシトリックスに報告する場合の手順について詳しくは、次のドキュメントをご覧ください。CTX081743 – Reporting Security Issues to Citrix
変更履歴
日付 | 変更内容 |
2019年12月17日 | 最初の投稿 |
2020年1月11日 | 修正スケジュールの更新 |
2020年1月16日 | SD-WAN WANOPを追加/Citrix ADC 12.1レスポンダーのバグに関する詳細を追加 |
2020年1月16日 | CVE検証ツール |
2020年1月17日 | Citrix ADCおよびCitrix Gateway 12.1レスポンダーポリシーの問題を更新 |
2020年1月19日 | 12.0および11.1ビルドのリリースを発表。 他のバージョンに関するリリース日の繰り上げを発表。 |
2020年1月22日 | SD-WAN WANOPアプライアンスの修正プログラムを発表。 |
2020年1月23日 | 13.0および12.1ビルドの(前倒しでの)リリースを発表。 |
2020年1月24日 | 10.5ビルドのリリースを発表。 |