公開日:2020/01/09 最終更新日:2020/01/20

JVNVU#92281641
Citrix Application Delivery Controller、Citrix Gateway および Citrix SD-WAN WANOP web server における任意のコード実行が可能な脆弱性

概要

Citrix が提供する Application Delivery Controller (旧称: NetScaler ADC)、Citrix Gateway (旧称: NetScaler Gateway) および Citrix SD-WAN WANOP には、任意のコード実行が可能な脆弱性が存在します。

影響を受けるシステム

  • Citrix ADC および Citrix Gateway version 13.0
  • Citrix ADC および NetScaler Gateway version 12.1
  • Citrix ADC および NetScaler Gateway version 12.0
  • Citrix ADC および NetScaler Gateway version 11.1
  • Citrix NetScaler ADC および NetScaler Gateway version 10.5
  • Citrix SD-WAN WANOP software および appliance model 4000
  • Citrix SD-WAN WANOP software および appliance model 4100
  • Citrix SD-WAN WANOP software および appliance model 5000
  • Citrix SD-WAN WANOP software および appliance model 5100

詳細は、開発者が提供する情報をご確認ください。

詳細情報

Citrix が提供する Application Delivery Controller (旧称: NetScaler ADC)、Citrix Gateway (旧称: NetScaler Gateway) および Citrix SD-WAN WANOP には、認証されていないユーザが任意のコードを実行可能な脆弱性が存在します。

想定される影響

遠隔の第三者によって、任意のコードが実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、修正版が提供されているシステムについてはアップデートしてください。

ワークアラウンドを実施する
開発者が提供する情報をもとに、緩和策として設定を変更してください。

Citrix ADC および Citrix Gateway version 12.1 のビルド 50.28 には不具合があり、緩和策の設定が適用されないとのことです。緩和策を適切に適用するために、以下のどちらかの対応を推奨しています。

  • Citrix ADC および Citrix Gateway version 12.1 のビルドを 50.28 / 50.31 より新しいビルドにアップデートする
  • CTX267679 で公開されている緩和策を管理インターフェースに対して適用する

ベンダ情報

ベンダ リンク
Citrix Systems, Inc. CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller and Citrix Gateway
Mitigation Steps for CVE-2019-19781

参考情報

  1. CERT/CC Vulnerability Note VU#619785
    Citrix Application Delivery Controller and Citrix Gateway web server vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2020-0003
複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2019-19781
JVN iPedia

更新履歴

2020/01/20
[タイトル]、[概要]、[影響を受けるシステム]、[詳細情報] に SD-WAN WANOP を追記し、[対策方法] に緩和策の設定が適用できない不具合および [関連文書] を追記しました。