Citrix Patches Vulnerabilities in Several Products
2022/04/13 SecurityWeek — 今週に Citrix は、同社の SD-WAN 製品ポートフォリオ全体における、複数の深刻な脆弱性に対するパッチを発表した。この、SD-WAN で解決された脆弱性 CVE-2022-27505 は、Webページ生成時に入力が適切に無効化されないことに起因する、深刻度の高い反射型クロス・サイト・スクリプティング (XSS) である。
Citrix によると、Ver 11.4.3a 以前の SD-WAN アプライアンスの Standard/Premium Edition に影響が生じるという。Citrix SD-WAN は、セキュアな WAN 上でアプリの最適課された供給を実現し、アプリへの安全なアクセスを保証するものだ。
この脆弱性を解決するために、Citrix が公開したセキュリティ・アップデートでは、ハードコードされた認証情報を使用して、管理者に SD-WAN CLI 経由でのシェル・アクセスを許すという、深刻度の低いセキュリティホール CVE-2022-27506 にも対処している。
今週には、StoreFront の XSS の脆弱性 CVE-2022-27503 と、Gateway Plug-in for Windows (Citrix Secure Access for Windows) に影響し、任意のファイルを破損/削除できる CVE-2022-21827 にも、パッチが適用されている。
さらに、エンドポイント管理 (XenMobile Server) において、基盤となる OS への不正アクセスにつながる可能性がある、3つの脆弱性 CVE-2021-44519/CVE-2021-44520/CVE-2022-26151 にもパッチが適用された。
すべてのユーザーに対して、該当するソリューションの修正されたバージョンへのアップグレードが推奨されている。Gateway Plug-in for Windows のパッチ・バージョンは、Citrix ADC/Gateway の最新版に含まれている。
米国 Cybersecurity and Infrastructure Security Agency (CISA) は、ユーザーおよび管理者に対して、Citrix のセキュリティ情報を確認し、利用可能なセキュリティ更新プログラムを適用することを推奨している。CISA は、「攻撃者たちは、これらの脆弱性のいくつかを悪用して、影響を受けるシステムを制御できる」と指摘している。
Citrix に関連する問題としては、2021年8月18日の「米国国勢調査局は Citrix ADC の脆弱性を介して1月に侵害されていた」があります。また、9月23日の「パスワードに関する調査:再利用は? 難読化は? 多要素認証は?」や、10月7日の「FIN12 ランサムウェアは医療機関を狙う:時間をかけない素早い侵害が特徴」にも、Citrix の名前が出てきます。よろしければ、ご参照ください。
IoT OT Security News 