CVE-2019-19781: Citrix ADC および Gateways における認証されていないユーザーによるリモートコード実行の脆弱性

Ryan Seguin

2019年12月23日

読了目安 2 分

Citrix は、CVE-2019-19781 に対する緩和策を適用するように呼びかけています。この脆弱性を悪用すると特別に細工された HTTP リクエストを脆弱なデバイスに送信し、リモートから任意のコードが実行される可能性があります。

背景

Citrix は、CVE-2019-19781 に関するアドバイザリをリリースしました。本脆弱性は、Citrix Application Delivery Controller (ADC) および Citrix Gateway の脆弱性で、認証されていない攻撃者により影響を受けるデバイスでコードが実行される可能性があります。Citrix は、提供された緩和策を早急に適用するように呼びかけています。

分析

アドバイザリでは、本脆弱性の性質の詳細は提供されていませんが、緩和策として、コードを含む可能性のある追加コンポーネントで HTTP ベースの VPN リクエストをブロックことを推薦しています。これは、これらのデバイスの VPN ハンドラーにサニタイズされていないコードがあることを意味します。そのため、緩和策は、着信する HTTP ベースの VPN リクエストをチェックし、エクスプロイト形式のリクエストが検出されるたびに「403 Forbidden」エラーを返します。

Citrix は、以下のデバイスが脆弱であると特定しています。

Citrix ADC および Citrix Gateway バージョン13.0 (サポートされているすべてのビルド)
Citrix ADC および NetScaler Gateway バージョン12.1 (サポートされているすべてのビルド)
Citrix ADC および NetScaler Gateway バージョン12.0 (サポートされているすべてのビルド)
Citrix ADC および NetScaler Gateway バージョン11.1 (サポートされているすべてのビルド)
Citrix NetScaler ADC および NetScaler Gateway バージョン10.5 (サポートされているすべてのビルド)

ソリューション

Citrix デバイスの構成に応じて緩和策を適用するために、本脆弱性に対する緩和策のオプションをご覧ください。Citrix は、緩和策とアップグレードはアップデート (後日にリリースされる予定) がリリースされた時点で無効にできると述べています。

影響を受けているシステムの特定

この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。

詳細情報

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。

Ryan Seguin

Security Response Manager

Ryan joined Tenable in 2013 as a customer support engineer assisting customers with technical troubleshooting and product education. After that, he helped create dashboard and report templates for SecurityCenter that users can download through the Tenable.sc feed. Now Ryan is a member of the Security Response team, informing customers of the latest security threats, and providing in-depth analytics for today’s most critical vulnerabilities.

プライベートの時間には... Ryan is a retro video game console/arcade hardware enthusiast and modder, and he is also studying Japanese and hopes to one day be fluent.

Vulnerability Management

Tenable One サイバーエクスポージャー管理プラットフォーム

プラットフォームのカテゴリ

プラットフォームの機能

クラウドのエクスポージャー

脆弱性のエクスポージャー

OT/IoT のエクスポージャー

Tenable アイデンティティエクスポージャー

ビジネスニーズ

産業別

コンプライアンス

公共事業

Tenableの差別化要因

Tenable を以下と比較:

リソース

リサーチ

Tenable Assure パートナー

その他のパートナーの機会

サポート

サービス

Tenable の信頼

会社概要

メディア

つながる

採用情報

CVE-2019-19781: Citrix ADC および Gateways における認証されていないユーザーによるリモートコード実行の脆弱性

背景

分析

ソリューション

影響を受けているシステムの特定

詳細情報

Ryan Seguin

Security Response Manager

CVE-2019-19781: Citrix ADC および Gateways における認証されていないユーザーによるリモートコード実行の脆弱性

背景

分析

ソリューション

影響を受けているシステムの特定

詳細情報

Ryan Seguin

Security Response Manager

関連記事

Tenable Is Named a Gartner Peer Insights Customers’ Choice for the Vulnerability Assessment Market

Narrowing the Focus: Enhancements to Tenable VPR and How It Compares to Other Prioritization Models

Forrester Names Tenable a Leader in the Q3 2025 Unified Vulnerability Management Solutions Wave™ Report

役立つサイバーセキュリティ関連のニュース

ブログ通知配信登録ありがとうございました!

Tenable Vulnerability Management

Tenable Vulnerability Management

ありがとうございます

Tenable Vulnerability Management

Tenable Vulnerability Management

ご清聴ありがとうございました

Tenable Vulnerability Management

Tenable Vulnerability Management

ご清聴ありがとうございました

Tenable Web App Scanning をお試しください

Tenable Web App Scanning を購入

ご清聴ありがとうございました

Tenable Security Center のデモを申し込む

Exposure Tenable OT Security のデモを申し込む

/ デモを申し込む

Tenable Cloud Security のデモを申請

Tenable One を実際にご覧ください。

実際の Tenable Attack Surface Management を見る

Tenable Enclave Security のデモを予約する

ありがとうございます

無料で Tenable Nessus Professional を試す

新 - Tenable Nessus Expert 利用可能に

Tenable Nessus Professional を購入

無料で Tenable Nessus Expert を試す

Tenable Nessus Expert を購入

Tenable の脆弱性管理ツールが SLCGP サイバーセキュリティプラン要件の達成にどのように貢献しているかをご確認ください

Tenable Patch Management のデモを見る

Tenable One
を実際にご覧ください。

新 - Tenable Nessus Expert
利用可能に