「Citrix ADC」と「Citrix Gateway」、パッチ適用進まず - 日本も低い適用率

Citrixは2022年11月8日(米国時間)および2022年12月13日(米国時間)にセキュリティアドバイザリを発行し、「Citrix ADC」および「Citrix Gateway」に脆弱性が存在すると伝えた。脆弱性はリモートからの攻撃が可能なものであり、深刻度は緊急(Critical)に分類されている。当局もアクティブな悪用を確認しているとしてアップデートの適用を呼びかけている。

Citrix Gateway and Citrix ADC Security Bulletin for CVE-2022-27510 CVE-2022-27513 and CVE-2022-27516
Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27518

しかし依然として、この脆弱性に対してパッチが適用されないままになっているプロダクトが多いことが、Fox-ITが12月28日(現地時間)に公開した調査結果「CVE-2022-27510, CVE-2022-27518 – Measuring Citrix ADC & Gateway version adoption on the Internet – Fox-IT International blog」において明らかになった。

Fox-ITの調査によると、CVE-2022-27510およびCVE-2022-27518の双方の脆弱性を修正したサーバの割合はどの国や地域においても半数前後となっている。最もサーバ数が多いとみられる米国では双方ともにアップデートしている割合は42%で、次にサーバ数が多いドイツのアップデート割合は57%、次の英国のアップデート割合は45%となっている。