world+dog が今日パッチをリリースしたことで、Citrix はユーザーの協力を必要とする別の深刻なセキュリティ状況に陥っています。
今回の問題は、Citrix Endpoint Management(旧称XenMobile Server)にあります。Citrixは、デバイスを安全に管理し、「従業員が好きな方法、時間、場所で働けるようにする」ための理想的な方法として推奨している製品です。
ソフトウェアメーカーは本日、セキュリティアップデートと説明を公開したが、バグの詳細は詳しく述べられていないものの、即時アップグレードを促している。
「本稿執筆時点では既知の脆弱性は確認されていないが、悪意のある攻撃者が迅速に行動して脆弱性を悪用すると予想される」と文書には記されている。
Citrixは、リモートワークは非常に良いことだと述べ、数字が上昇している。
続きを読む
状況は非常に深刻で、Citrixはこれらのバグについて「世界中の複数の主要なCERT」に事前に通知しました。しかし、これらのバグが具体的にどのようなものかは説明されておらず、CVE番号(2020-8208から8212)のリストのみが提供されており、5つのうちどれが「重大」なのかは明らかにされていません。
わかっていることは、次の 4 つのリリースでバグが重大と評価されていることです。
- XenMobile Server 10.12 RP2 より前
- XenMobile Server 10.11 RP4 より前
- XenMobile Server 10.10 RP6 より前
- XenMobile Server 10.9 RP5 以前
Citrixは、上記製品に関して、直ちにアップデートすることを強く推奨しています。また、中程度および低程度のバグがあり、「できるだけ早くパッチを適用してください」と評価されており、以下の問題に影響があります。
- XenMobile Server 10.12 RP3 より前
- XenMobile Server 10.11 RP6 より前
- XenMobile Server 10.10 RP6 より前
- XenMobile Server 10.9 RP5 以前
Citrix クラウドの顧客にとって事態は少し複雑です。同社では自社の運用にパッチを適用していますが、ハイブリッド モードで実行している顧客はオンプレミスで自ら対処する必要があります。
重大なバグは歓迎されないものの、Citrixは2019年3月の大規模データ漏洩、2019年クリスマスに発生したNetscalerのバグ(広く悪用され、かなり悪質だった)、そして2020年6月のWorkspaceの脆弱性といった過去のセキュリティインシデントを抱えているため、今回のインシデントを許容する余裕はない。同社は明らかに、社内ネットワークへの侵入を示唆する噂を事前に否定するという異例の決断を下したことからもわかるように、過去の失敗に敏感になっている。
上記の段落では、かなり詳細な犯罪歴が述べられていますが、このソフトウェア会社は引き続き素晴らしい業績を上げており、顧客は長期にわたって信頼してくれると述べています。®
