「Citrix ADC」などに深刻な脆弱性 - すでに悪用も

「Citrix ADC」「Citrix Gateway」に深刻な脆弱性が明らかとなった。一部脆弱性はすでに悪用が確認されており、同社は可能なかぎり早急にアップデートを講じるよう強く求めている。

「NetScaler ADC（旧Citrix ADC）」「NetScaler Gateway（旧Citrix Gateway）」に3件の脆弱性が明らかになったとし、7月18日にアドバイザリを公開したもの。重要度は4段階中もっとも高い「クリティカル（Critical）」とされている。

具体的には、認証なしにリモートよりコードの実行が可能となる脆弱性「CVE-2023-3519」が明らかとなった。「VPN」の仮想サーバや、「ICA（画像転送）」「RDP」のプロクシ、認証サーバなどを構成している場合に影響を受ける。さらに権限昇格の脆弱性「CVE-2023-3467」や、クロスサイトスクリプティング（XSS）の脆弱性「CVE-2023-3466」なども判明している。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは、「CVE-2023-3519」が「9.8」、「CVE-2023-3466」が「8.3」、「CVE-2023-3467」が「8.0」と評価されている。なかでも「CVE-2023-3519」は脆弱性の悪用が確認されているという。

同社は、これら脆弱性を修正した「同13.1-49.13」「同13.0-91.13」「同13.1-FIPS 13.1-37.159」「同12.1-FIPS 12.1-55.297」「同12.1-NDcPP 12.1-55.297」を提供しており、できるだけ早急にインストールするよう呼びかけている。

また「同12.1」系については、サポートの終了を迎えており、脆弱性の修正が実施されたサポート中のバージョンへ移行するよう呼びかけている。

（Security NEXT - 2023/07/19 ） ツイート

PR

関連記事

全校生徒の名簿データを第三者へメール誤送信 - 大洲市
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
物流検品システムなどまもなく復旧、物量制限は解除へ - ランテック
コミュニケーションサポーターのメアド流出 - 茨城県国際交流協会
ランサムでシステム障害、配送遅延など影響 - センコーグループ子会社
職員が顧客情報をUSBメモリで持出、日次確認で判明 - 一関信金
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
スポーツグッズ通販サイトで個人情報流出か - 不正プログラムや改ざんを確認
ランサム攻撃で暗号化被害、公共工事のデータも - 松永建設
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開