Citrix社NetScalerの脆弱性(CVE-2022-27510, CVE-2022-27513, CVE-2022-27516)に対する注意のお知らせ

(2023/7/20 修正)
タイトルを以下の通り変更しました。
変更前：ロードバランサー(NetScaler VPX)メニューのCitrix Gateway機能における脆弱性
変更後：Citrix社NetScalerの脆弱性(CVE-2022-27510, CVE-2022-27513, CVE-2022-27516)に対する注意のお知らせ

平素よりSmart Data Platform (以下SDPF)をご利用いただき誠にありがとうございます。

SDPF ネットワーク クラウド/サーバー ローカルネットワーク ロードバランサーメニューで提供しているCitrix社のNetScalerに

おいて、Citrix Gateway機能をご利用の場合にVPN認証がバイパスされる脆弱性(CVE-2022-27510)が確認されました。

ロードバランサーメニューをご利用のお客さまにおかれましては、脆弱性の最新情報をご確認の上、必要に応じてご対応いただく

ことを推奨いたします。

なお、本脆弱性の恒久対処として、セキュリティパッチ対応の新しいバージョンをリリース予定です。

暫定対処においては下記の対応方法を参考にご検討をお願いいたします。

対象バージョン

・13.1-4.136 Standard Edition
・12.1-55.18 Standard Edition
・12.1-52.15 Standard Edition

※EOL済みバージョンについては記載しておりません。

メーカーよりアップグレードが推奨されておりますので、計画的に切替のご準備をお願いいたします。

対応方法

・Citrix Gateway機能をご利用されていない場合は、本脆弱性の対象ではございません。

・Citrix Gateway機能をご利用の場合は、不特定多数から本脆弱性を悪用されるリスクを軽減するため、

ACL設定を用いてCitrix Gatewayが設定されているIPアドレスに対してアクセス許可する送信元IPアドレスの制限を

ご検討ください。

https://ecl.ntt.com/files/loadbalancer/20170927/citrix-netscaler-vulnerability-acl-jp.pdf

参考情報

Citrix Gateway and Citrix ADC Security Bulletin for CVE-2022-27510 CVE-2022-27513 and CVE-2022-27516

https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516

今後ともお客さまにとってより良いサービスをご提供できるよう努めてまいりますので、引き続きご愛顧下さいますよう

何卒宜しくお願い致します。