Citrix ADC/Gateway 認証バイパスの脆弱性が FIX:直ちにパッチ適用を!

Citrix urges admins to patch critical ADC, Gateway auth bypass

2022/11/08 BleepingComputer — Citrix は、Citrix ADC/Citrix Gateway の深刻な認証バイパスの脆弱性に対するセキュリティ・アップデートをインストールするよう、顧客に促している。Citrix ADC/Citrix Gateway における3つの脆弱性は、特定の環境下において、攻撃者によるデバイスへの不正アクセスおよび、リモート・デスクトップの乗っ取り、ログイン・ブルートフォースによるプロテクションの回避などを可能にするものだ。

Citrix のセキュリティ情報ページでは、「ゲートウェイとして動作しているアプライアンス (SSL VPN 機能を使用しているアプライアンス、または、認証が有効な ICA プロキシとして展開されているアプライアンス) のみが、深刻度 Critical として評価されている、1つ目の脆弱性の影響を受ける」と説明されている。


Citrix Gateway/Citrix ADC の両製品は、世界中の企業で幅広く利用されている。

Citrix Gateway は、ID/アクセス管理機能を備えた、安全なリモート・アクセスを提供する SSL VPN サービスであり、クラウドまたはオンプレミスのエンタープライズ・サーバで広く展開されている。

Citrix ADC は、企業内に展開されたクラウド・アプリケーションの負荷分散ソリューションであり、中断を阻止する可用性と、最適なパフォーマンスを保証するものだ。今回のアップデートで修正された3つの脆弱性は、Citrix が積極的にサポートしている現行バージョンに加えて、旧バージョンにも影響する。

Citrix Gateway/Citrix ADC の両製品に影響を及ぼす3つの脆弱性の詳細は、以下の通りだ。

CVE-2022-27510:VPN (Gateway) として構成されている場合のみ利用可能な、代替パスまたはチャネルを使用した深刻な認証バイパスの脆弱性。

CVE-2022-27513:データの信頼性確認が不十分なため、フィッシングによるリモート・デスクトップの乗っ取りを許してしまう。この欠陥は、アプライアンスが VPN (ゲートウェイ) として構成され、RDP プロキシ機能が構成されている場合にのみ、悪用が可能になる。

CVE-2022-27516:ログイン時のブルートフォース・プロテクション機構に不具合があり、セキュリティ・バイパスの可能性が生じる。この脆弱性は、アプライアンスが VPN (ゲートウェイ) として構成されている場合、または、 AAA 仮想サーバーが「最大ログイン試行回数」設定で構成されている場合にのみ、悪用される可能性がある。

Citrix は、「Citrix ADC/Citrix Gateway の影響を受けるユーザーは、可能な限り早急に、該当するバージョンへのアップデートを推奨する」と警告している。

上記の脆弱性は、以下の製品バージョンに影響する。

  • Citrix ADC/Citrix Gateway 13.1-33.47 以下の 13.1
  • Citrix ADC/Citrix Gateway 13.0-88.12 以下の 13.0
  • Citrix ADC/Citrix Gateway 12.1.65.21 以下の 12.1
  • Citrix ADC 12.1-55.289 以下の 12.1-FIPS
  • Citrix ADC 12.1-55.289 以下の 12.1-NDcPP

これらの製品バージョンを使用し、Citrix アプライアンスを自身で管理しているユーザーは、最新バージョンへと迅速にアップグレードする必要がある。クラウド・ベースの管理サービスを Citrix に依存している場合は、すでに Citrix がセキュリティ・アップデートを適用しているため、何もする必要はない。

サポートが終了したバージョン 12.1 以下の製品については情報が提供されていないため、サポートされるリリースへのアップグレードが推奨される。

Citrix の3つの脆弱性ですが、お隣のキュレーション・チームに聞いてみたところ、3件とも CVSS 値は 9.8 であり、11月10日にレポートをアップしているとのことでした。2022年の Citrix ですが、4月13日の「Citrix SD-WAN 製品ポートフォリオの脆弱性 CVE-2022-27505 などが FIX」と、6月15日の「Citrix ADM の深刻な脆弱性 CVE-2022-27511:管理者パスワード・リセットも許してしまう」という、2件の問題が報告されています。よろしければ、Ctrix で検索も、ご参照ください。

%d bloggers like this: