2020 年 1 月 22 日 Emil Hozan 著

ご注意ください。パストラバーサル攻撃に対する重大度 9.8 の脆弱性（CVE-2019-19781）が新たに発見されました。この脆弱性が悪用されると、認証していない攻撃者が Citrix 社の一部の製品で任意のコードを実行できます。アプリケーションデリバリーコントローラ（ADC）、Gateway、SD-WAN WANOP がその対象に含まれています。Citrix 社は各製品に対するパッチの公開予定日リストを提供しています。2020 年 1 月末までにすべてのパッチが公開される予定です。

上記の脆弱性と現在行われている攻撃について、Hacker News の Mohit Kumar 氏が素晴らしいブログ記事を書いています。Positive Technologies のセキュリティ調査員である Mikhail Klyuchnikov 氏が 2019 年の下旬にこの脆弱性を特定した責任者です。調査報告の中では、この脆弱性はわずか 1 分で悪用できるという事実が強調され、延べ 158 カ国以上にある 80,000 社以上の会社に影響を与えたと書かれています。2020 年 1 月 20 日に公開された Mohit 氏による新しい記事によれば、その数は 15,000社に減っています。

現在 Citrix 社の製品を使用している場合は、直ちにパッチの公開予定日を参照し、公開され次第、速やかにアップデートを適用しましょう。ADC と Gateway の バージョン 11.1、バージョン 12.0 に対するパッチは既にリリースされています。その他のリリースは 2020 年 1 月 24 日に予定されています。それぞれの製品は個々にアップデートが必要です。現在使っているバージョンを確認することで、アップデートが必要かどうかを判断することができます。
リモートから任意のコード実行を許す脆弱性は決して軽視すべきではありません。常に安全を心がけましょう。