Citrix ADC、Citrix SD-WAN 脆弱性情報 CVE-2019-19781について

2019.1.16 更新

Citrix ADC、Citrix SD-WAN 製品において、下記の脆弱性情報が公開されております。
該当製品をご利用されているお客様におかれましては、最新情報をご確認の上、必要に応じてご対応ご検討くださいますようお願いいたします。

概要

2019年12月17日、 Citrix ADC(旧称:NetScaler ADC)と Citrix Gateway(旧称:NetScaler Gateway)における脆弱性 CVE-2019-19781 が公開されました。
また、この問題によって Citrix SDWAN WANOP Edition も影響を受けることが判明しました。

この脆弱性によって、認証されていない攻撃者から任意のコードを実行される恐れがあります。
特に Citrix Gateway のポータルサイトが外部に公開されている場合は、至急回避策を適用ください。

影響

この脆弱性による影響を受ける製品バージョンは以下です。

  • Citrix ADCおよびCitrix Gatewayバージョン13.0のサポートされているすべてのビルド
  • NetScaler ADCおよびNetScaler Gatewayバージョン12.1のサポートされているすべてのビルド
  • NetScaler ADCおよびNetScaler Gatewayバージョン12.0のサポートされている12.0.63.13以前のすべてのビルド
  • NetScaler ADCおよびNetScaler Gatewayバージョン11.1のサポートされている11.1.63.15以前のすべてのビルド
  • NetScaler ADCおよびNetScaler Gatewayバージョン10.5のサポートされているすべてのビルド
  • Citrix SD-WAN WANOPソフトウェアおよびアプライアンスモデル4000、4100、5000、5100のサポートされているすべてのビルド

対策

現時点で公開されているワークアラウンドは以下となります。

対処方法の実施後、下記に公開されているツールを使用して問題が解決されているかどうかを検証できます。

※Citrix ADCおよびCitrix Gatewayのリリース「12.1ビルド50.28」において、レスポンダーが影響を受けてポリシーが上書きされ、ポリシー規則に一致したパケットを処理しなくなる問題が存在しています。 この問題は「12.1ビルド50.28/31」で解決されており、指定の対処方法は有効に機能します。 ただし、既にこれらのビルドを利用中のお客様は、CVE-2019-19781の問題が対応済みである「12.1ビルド55.18」以降に更新することをお勧めします。

「12.1ビルド50.28」を利用中で「12.1ビルド55.18」以降に更新することを望まないお客様は、指定の対処方法を有効にするために以下の2つのオプションのうちいずれかを選択してください。

  1. 更新済みの「12.1ビルド50.28/50.31」以降に更新し、対処法を適用する。
  2. CTX267679で公開されている管理インターフェイスを保護するための対処法を適用する。 この方法を適用すると、管理インターフェイスだけでなく、GatewayおよびAAAの仮想IPを含むすべてのインターフェイスに対する攻撃が軽減されます。

また、下記日程で CVE-2019-19781 に対応したファームウェアのリリースが予定されております。
リリース後、ご検証の上、バージョンアップ対応をお願いいたします。

Citrix ADCおよびCitrix Gateway
バージョン更新ビルドリリース予定日

10.5

10.5.70.12 2020年1月24日(リリース済み)

11.1

11.1.63.15

2020年1月19日(リリース済み)

12

12.0.63.13

2020年1月19日(リリース済み)

12.1

12.1.55.18 2020年1月23日(リリース済み)

13

13.0.47.24

2020年1月23日(リリース済み)
Citrix SD-WAN WANOP
リリースCitrix ADCリリースリリース予定日

10.2.6b

11.1.51.615

2020年1月22日(リリース済み)

11.0.3b

11.1.51.615

2020年1月22日(リリース済み)

更新ビルド

修正されたビルドは下記よりダウンロードいただけます。
修正されたビルドにアップグレード済みのお客様は、CTX267679に記載された対処を保持する必要はありません。

PAGE TOP