Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

CVE-2019-19781: Unauthenticated Remote Code Execution Vulnerability in Citrix ADCs and Gateways

Citrix urges customers to apply mitigation steps for CVE-2019-19781, a remote code execution vulnerability exploitable through specially crafted HTTP requests to vulnerable devices.

背景

Citrix has released an advisory for CVE-2019-19781, a vulnerability in Citrix Application Delivery Controller (ADC) and Citrix Gateway that could allow an unauthenticated attacker to execute code on the affected devices. Users are encouraged to apply the provided mitigation steps as quickly as possible.

分析

アドバイザリでは、本脆弱性の性質の詳細は提供されていませんが、緩和策として、コードを含む可能性のある追加コンポーネントで HTTP ベースの VPN リクエストをブロックことを推薦しています。これは、これらのデバイスの VPN ハンドラーにサニタイズされていないコードがあることを意味します。そのため、緩和策は、着信する HTTP ベースの VPN リクエストをチェックし、エクスプロイト形式のリクエストが検出されるたびに「403 Forbidden」エラーを返します。

Citrix は、以下のデバイスが脆弱であると特定しています。

  • Citrix ADC および Citrix Gateway バージョン13.0 (サポートされているすべてのビルド)
  • Citrix ADC および NetScaler Gateway バージョン12.1 (サポートされているすべてのビルド)
  • Citrix ADC および NetScaler Gateway バージョン12.0 (サポートされているすべてのビルド)
  • Citrix ADC および NetScaler Gateway バージョン11.1 (サポートされているすべてのビルド)
  • Citrix NetScaler ADC および NetScaler Gateway バージョン10.5 (サポートされているすべてのビルド)

解決策

Citrix デバイスの構成に応じて緩和策を適用するために、本脆弱性に対する緩和策のオプションをご覧ください。Citrix は、緩和策とアップグレードはアップデート (後日にリリースされる予定) がリリースされた時点で無効にできると述べています。

影響を受けたシステムの特定

この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。

詳細情報を入手する

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加しませんか。

最新のアタックサーフェスを総合的に管理する Tenable、初の Cyber Exposure Platform の詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。

Tenable のブログにご登録ください。最新の投稿にアクセスできます。

登録する
無料でお試し 今すぐ購入

Tenable.ioを試す

30 日間無料

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.ioを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入
無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

Nessus Professionalを購入する

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

複数年ライセンスをご購入いただくと割引が適用されます。 拡張サポートでは 24 時間x365 日、電話、コミュニティ、チャットサポートのアクセスが追加されます。 詳細はこちらから

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

3,578ドル

今すぐ購入

無料でお試しになれます。 セールスにご連絡ください。

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable.scのデモを入手する

以下のフォームに連絡先をご記入ください。営業担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます(255文字まで)。アスタリスク(*)マークの付いた欄は必須です。

無料でお試しになれます。 セールスにご連絡ください。

Tenable Luminを試す

30 日間無料

Tenable Luminを使用して、Cyber Exposureを可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Luminを購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上でLuminがいかに役立つかについて、Tenableの営業担当者までお問い合わせください。

Tenable.ot のデモを予約する

組織の OT セキュリティニーズのために。
不要なリスクを削減します。