Trusted Design

CVE-2020-8193 の詳細

CVEの情報

説明:
Improper access control in Citrix ADC and Citrix Gateway versions before 13.0-58.30, 12.1-57.18, 12.0-63.21, 11.1-64.14 and 10.5-70.18 and Citrix SDWAN WAN-OP versions before 11.1.1a, 11.0.3d and 10.2.7 allows unauthenticated access to certain URL endpoints.

CVE更新日: 2020-07-10 16:15:12.157000

CVSSバージョン: 3.1

CVSSスコア: 6.5

KEVの情報

KEV更新日: 2021-11-03

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.943610000

EPSS更新日: 2026-04-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: medium

Automatable: True

AIを使った解説

解説:

ユーザーの要望に基づいて、CVE-2020-8193に関する調査結果を以下の通り解説します。

CVE-2020-8193 解説

1. 脆弱性の概要

CVE-2020-8193は、Citrix ADC(Application Delivery Controller)、Citrix Gateway、およびCitrix SD-WAN WANOP製品における不適切なアクセス制御の脆弱性です。この脆弱性により、認証されていない攻撃者が特定のURLエンドポイントにアクセスできる可能性があります。

1.1 影響 この脆弱性が悪用されると、認証されていないリモートの攻撃者が、本来認証が必要な特定のURLエンドポイントにアクセスし、機密情報が漏洩したり、情報が改ざんされたりする可能性があります。 この脆弱性は、他の脆弱性と組み合わせて、より広範なシステム侵害につながる可能性があり、Citrix製品の管理ネットワーク上のシステムが侵害される可能性も指摘されています。

1.2 深刻度 CVSS v3の基本スコアは6.5で、「警告」と評価されています。 CVSSベクターは「CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N」です。 これは、攻撃元区分がネットワーク、攻撃条件の複雑さが低、必要な特権レベルが不要、ユーザー関与レベルが不要であり、機密性と完全性への影響が低、可用性への影響がなしであることを示しています。 この脆弱性は、CISAの既知の悪用された脆弱性(Known Exploited Vulnerabilities: KEV)カタログにも掲載されており、実際に悪用が確認されていることを示しています。

2. 対象となる環境

2.1 影響を受けるOSバージョン この脆弱性は、Citrix ADCおよびCitrix Gatewayのアプライアンス、ならびにCitrix SD-WAN WANOPアプライアンスに影響します。 具体的な影響を受けるバージョンは以下の通りです。

  • Citrix ADCおよびCitrix Gatewayバージョン:
    • 13.0-58.30より前のバージョン
    • 12.1-57.18より前のバージョン
    • 12.0-63.21より前のバージョン
    • 11.1-64.14より前のバージョン
    • 10.5-70.18より前のバージョン
  • Citrix SD-WAN WANOPバージョン:
    • 11.1.1aより前のバージョン
    • 11.0.3dより前のバージョン
    • 10.2.7より前のバージョン

2.2 影響を受ける設定 Citrix GatewayまたはAuthentication仮想サーバーを有効にしている顧客が攻撃のリスクにさらされます。ロードバランシングやコンテンツスイッチングの仮想サーバーは影響を受けません。 この脆弱性は、NSIP/管理インターフェースにアクセスできる場合に悪用される可能性があります。

3. 影響を受けた時の兆候

この脆弱性によって直接的に観測可能な特定の兆候については、詳細な情報が見つかりませんでした。「不明」とします。 ただし、脆弱性が悪用された場合、通常はログの異常な記録、不正なアクセス試行、またはシステム設定の予期しない変更などが発生する可能性があります。また、他の脆弱性と組み合わせて悪用された場合には、システム侵害や情報漏洩が発生する可能性があります。

4. 推奨対策

4.1 本対策 ベンダーから提供されているセキュリティ更新プログラムを適用することが推奨されます。 影響を受ける製品のバージョンを以下のバージョン以降にアップグレードしてください。

  • Citrix ADCおよびCitrix Gateway
    • 13.0-58.30以降のリリース
    • 12.1-57.18以降の12.1リリース
    • 12.0-63.21以降の12.0リリース
    • 11.1-64.14以降の11.1リリース
    • 10.5.70.18以降の10.5リリース
  • Citrix SD-WAN WANOPについては、対応する最新バージョンにアップデートしてください。

詳細については、Citrixのセキュリティアドバイザリ(CTX276688)を参照してください。

4.2 暫定回避策(緩和策) Citrix GatewayまたはAuthentication仮想サーバーを有効にしていない場合、この脆弱性の影響を受けるリスクはありません。 現時点では、本対策(アップデート)以外の具体的な暫定回避策に関する明確な情報は見つかりませんでした。「不明」とします。

他に解説すべき観点

  • CWE (Common Weakness Enumeration): CWE-284 (不適切なアクセス制御) および CWE-287 (不適切な認証) に分類されます。
  • 悪用状況: CISAのKnown Exploited Vulnerabilities Catalogに掲載されており、実際の悪用が確認されています。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る