Citrix ADCとGatewayに緊急の脆弱性、ただちにアップデートを

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は12月13日(米国時間)、「Citrix Releases Security Updates for Citrix ADC, Citrix Gateway｜CISA」において、Citrix ADCおよびCitrix Gatewayに緊急の脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。

脆弱性に関する情報は次のページにまとまっている。

Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27518
Released: Citrix ADC and Citrix Gateway (security bulletin CTX474995) security update | Citrix Blogs
CSA-APT5-CITRIXADC-V1.PDF

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

Citrix ADCおよびCitrix Gateway 13.0 13.0-58.32よりも前のバージョン
Citrix ADCおよびCitrix Gateway 12.1 12.1-65.25よりも前のバージョン
Citrix ADC 12.1-FIPS 12.1-55.291よりも前のバージョン
Citrix ADC 12.1-NDcPP 12.1-55.291よりも前のバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

Citrix ADCおよびCitrix Gateway 13.0-58.32およびこれ以降のバージョン
Citrix ADCおよびCitrix Gateway 12.1-65.25およびこれ以降のバージョン
Citrix ADC 12.1-FIPS 12.1-55.291およびこれ以降のバージョン
Citrix ADC 12.1-NDcPP 12.1-55.291およびこれ以降のバージョン

脆弱性の深刻度が緊急（Critical）に分類されている上、すでにこの脆弱性を悪用したサイバー攻撃が確認されていることから注意が必要。