安全公告
安全、可靠且具有弹性的基础设施是任何组织的生命线。NetScaler ADM 安全公告要点:
常见漏洞和暴露 (CVE) 检测和修复-使您能够识别使 NetScaler 实例面临风险的 CVE 并提出补救建议。
文件完整性监控——使您能够确定是否对NetScaler 构建文件进行了任何更改或添加。
作为管理员,您必须确保:
跟踪任何新的常见漏洞和暴露 (CVE),评估 CVE 的影响,了解补救措施并解决漏洞。
检查 NetScaler 编译文件的完整性。
安全咨询功能
以下安全公告功能可帮助您保护基础结构。
CVE:
| 功能 | 说明 |
|---|---|
| 系统扫描 | 默认情况下,每周扫描一次所有托管实例。NetScaler ADM 决定系统扫描的日期和时间,您无法对其进行更改。 |
| 按需扫描 | 需要时,您可以手动扫描实例。如果上次系统扫描后经过的时间很长,则可以运行按需扫描以评估当前的安全状态。或者在应用补救措施后进行扫描,以评估修改后的状态。 |
| CVE 影响分析 | 显示影响您的基础设施的所有 CVE 的结果以及所有 NetScaler 实例受到影响的结果,并提出补救建议。使用此信息应用补救措施来修复安全风险。 |
| CVE 报告 | 存储最近五次扫描的副本。您可以下载 CSV 格式的这些报告并对其进行分析。 |
| CVE 存储库 | 详细介绍了 Citrix 自 2019 年 12 月以来宣布的所有与 NetScaler 相关的 CVE,这可能会影响你的 NetScaler 基础架构。您可以使用此视图来了解安全公告范围中的 CVE,并了解有关 CVE 的更多信息。有关不支持的 CVE 的信息,请参阅安全公告中不支持的 CVE。 |
文件完整性监控:
| 功能 | 说明 |
|---|---|
| 按需扫描 | 必须运行按需扫描,才能获得 NetScaler 构建文件中检测到的任何文件更改的结果。 |
| 文件完整性监控扫描 | 将当前 NetScaler 构建文件的二进制哈希值与原始二进制哈希值进行比较,并突出显示是否有任何文件更改或文件添加。您可以在 “文件完整性监控” 选项卡下查看扫描结果。 |
注意事项
Security Advisory 不支持已到达生命周期已结束 (EOL) 状态的 NetScaler 版本。我们建议您升级到 NetScaler 支持的内部版本或版本。
CVE 检测支持的实例:所有 NetScaler(SDX、MPX、VPX)和 Gateway。
文件完整性监控支持的实例:MPX、VPX 实例和网关。
支持的 CVE:2019 年 12 月之后的所有 CVE。
注意:
NetScaler ADM 安全公告不支持检测和修复影响适用于 Windows 的 NetScaler Gateway 插件的漏洞。有关不支持的 CVE 的信息,请参阅安全公告中不支持的 CVE。
NetScaler ADM 安全公告在识别漏洞时不会考虑任何类型的功能配置错误。
NetScaler ADM 安全公告仅支持 CVE 的识别和修复。它不支持识别和修复“安全”文章中强调的安全问题。
NetScaler、Gateway 版本的范围:该功能仅限于主版本。安全公告在其范围内不包括任何特殊版本。
- 管理员分区不支持安全通告。
以下类型的扫描可用于 CVE:
版本扫描:此扫描需要 NetScaler ADM 将 NetScaler 实例的版本与可用修复程序的版本和版本进行比较。此版本比较有助于 NetScaler ADM 安全公告确定 NetScaler 是否容易受到 CVE 的攻击。例如,如果在 NetScaler 版本上修复 CVE 并构建 xx.yy,则安全公告会将版本低于 xx.yy 的所有 NetScaler 实例视为易受攻击。安全公告目前支持版本扫描。
配置扫描:此扫描需要 NetScaler ADM 将特定于 CVE 扫描的模式与 NetScaler 配置文件 (nsconf) 进行匹配。如果 NetScaler ns.conf 文件中存在特定的配置模式,则认为该实例容易受到该 CVE 的影响。此扫描通常与版本扫描一起使用。 安全公告目前支持配置扫描。
自定义扫描:此扫描需要 NetScaler ADM 连接托管 NetScaler 实例,向其推送脚本,然后运行脚本。脚本输出可帮助 NetScaler ADM 识别 NetScaler 是否容易受到 CVE 的攻击。示例包括特定的 shell 命令输出、特定的 CLI 命令输出、某些日志以及某些目录或文件的存在或内容。如果配置扫描无法解决相同问题,Security Advisory 还会使用自定义扫描来匹配多个配置模式。对于需要自定义扫描的 CVE,脚本会在每次运行预设或按需扫描时运行。有关收集的数据和特定自定义扫描选项的更多信息,请参阅该 CVE 的安全咨询 文档。
以下扫描可用于文件完整性监控:
文件完整性监控扫描:此扫描需要 NetScaler ADM 才能连接到托管 NetScaler 实例。NetScaler ADM 通过在 NetScaler 中运行脚本并收集 NetScaler 构建文件的当前二进制哈希值来比较哈希值。比较后,NetScaler ADM 将提供已修改的现有文件总数和新添加文件总数的结果。作为管理员,您可以联系您的组织数字取证,以进一步调查扫描结果。
扫描以下文件:
/netscaler/bin, /sbin, /usr/bin, /usr/sbin, /usr/local/bin, /usr/local/sbin/lib, /libexec, /usr/lib, /usr/libexec, /usr/local/lib, /usr/lib32, /compat/etc其余的
/usr/root, /home, /mnt
扫描不会影响 NetScaler 上的生产流量,也不会更改 NetScaler 上的任何 NetScaler 配置。
NetScaler ADM 安全顾问不支持 CVE 缓解。如果您已对 NetScaler 实例应用了缓解措施(临时解决方法),则在您完成修复之前,ADM 仍会将 NetScaler 识别为易受攻击的 NetScaler。
对于 FIPS 实例,不支持 CVE 扫描,但支持文件完整性监控扫描。
有些文件更改可能是在设备正常运行过程中发生的,而另一些则可能需要进一步调查。在查看文件更改时,以下内容可能会有所帮助:
使用脚本或插件可能会导致
/netscaler目录(在.html和.js文件中)发生变化。/etc目录包含配置文件,这些文件可能会在启动系统后因意外干预而被更改。如果有,那就不寻常了:
/bin、/sbin或/lib目录中的报告/netscaler目录中有新的 .php 文件
如何使用安全公告控制板
要访问安全公告控制板,请从 NetScaler ADM GUI 导航到基础结构 > 实例公告 > 安全公告。
仪表板包括四个选项卡:
- 当前的 CVE
- 文件完整性监控
- 扫描日志
CVE 存储库
重要:
在安全公告GUI 或报告中,可能不会显示所有 CVE,您可能只能看到一个 CVE。解决方法是,单击 “立即扫描” > “扫描 CVE” 以运行按需扫描。扫描完成后,范围内的所有 CVE(大约 15 个)都将显示在 UI 或报告中。
控制板右上角是设置图标,它允许您:
启用和禁用通知(仅适用于 CVE 检测)。
您可以收到以下有关 CVE 影响的通知。
发送电子邮件、Slack、PagerDuty 和 ServiceNow 通知,了解 CVE 扫描结果变更以及 CVE 存储库中添加的新 CVE。
CVE 影响扫描结果变更的云端通知。
配置自定义扫描设置(仅适用于 CVE)
您可以单击 “自定义扫描设置”列表以查看其他设置复选框。您可以选择复选框并选择退出这些 CVE 自定义扫描。安全公告中不会评估需要自定义扫描的 CVE 对您的 NetScaler 实例的影响。
当前的 CVE
此选项卡显示影响您的实例的 CVE 数量以及受 CVE 影响的实例。这些选项卡不是顺序的,作为管理员,您可以根据您的使用案例在这些选项卡之间切换。
显示影响 NetScaler 实例的 CVE 数量的表格包含以下详细信息。
CVE ID:影响实例的 CVE 的 ID。
发布日期:该 CVE 发布安全公告的日期。
严重性得分:严重性类型(高/中/严重)和得分。要查看得分,请将鼠标悬停在严重性类型上。
漏洞类型:此 CVE 的漏洞类型。
受影响的 NetScaler 实例:CVE ID 所影响的实例数。将鼠标悬停在上方时,将显示 NetScaler 实例列表。
补救措施:可用的补救措施,即升级实例(通常)或应用配置包。
同一实例可能受到多个 CVE 的影响。此表可帮助您查看一个特定 CVE 或多个选定 CVE 正在影响多少个实例。 要查看受影响实例的 IP 地址,请将鼠标悬停在“受影响 NetScaler 实例”下的 NetScaler 详细信息上。要查看受影响实例的详细信息,请单击表底部的查看受影响的实例。 您还可以通过单击加号在表中添加或删除列。
在此屏幕中,影响您的实例的 CVE 数量为 3 个,受这些 CVE 影响的实例数量为两个。
- NetScaler IP 地址
- 主机名
- NetScaler 型号
- NetScaler 的状态
- 软件版本和构建
- 影响 NetScaler 的 CVE 清单。
您可以根据需要通过单击 + 号来添加或删除这些列中的任何一列。
要修复漏洞问题,请选择 NetScaler 实例并应用建议的补救措施。大多数 CVE 需要升级作为补救措施,而其他的 CVE 则需要升级和额外的补救措施。
有关 CVE-2020-8300 补救措施,请参阅修复 CVE-2020-8300 的漏洞。
对于 CVE-2021-22927 和 CVE-2021-22920,请参阅修复 CVE-2021-22927 和 CVE-2021-22920 的漏洞。
对于 CVE CVE-2021-22956,请参阅识别和修复 CVE-2021-22956 的漏洞
对于 CVE CVE-2022-27509,请参阅修复 CVE-2022-27509 的漏洞
注意
如果您的 NetScaler 实例有自定义设置,请在规划 NetScaler 升级之前,请参阅自定义 NetScaler 配置的升级注意事项。
升级:您可以将易受攻击的 NetScaler 实例升级到具有修复程序的版本和版本。此详细信息可以在修复列中看到。要升级,请选择实例,然后单击继续升级工作流程。在升级工作流程中,易受攻击的 NetScaler 会自动填充为目标 NetScaler。
注意
12.0、11,0、10.5 及更低版本已经结束了生命周期(EOL)。如果您的 NetScaler 实例正在这些版本中的任何一个版本上运行,请升级到支持的版本。
升级工作流程启动。有关如何使用 NetScaler ADM 升级 NetScaler 实例的更多信息,请参阅使用作业升级 NetScaler 实例。
注意
要升级到的版本和版本由您自行决定。请参阅“修复”栏下的建议,了解哪些版本和版本已修复安全问题。因此,选择支持的版本和版本,该版本尚未到生命周期结束。
文件完整性监控
此选项卡显示 NetScaler 实例的文件完整性监控扫描结果,这些实例对原始 NetScaler 构建文件进行了任何修改或添加。
以下示例显示了两个受影响的 NetScaler 实例的扫描结果,其中修改了现有文件并将新文件添加到原始构建文件中。
单击 “已修改的现有文件” 和 “已添加的新文件” 下的数字以查看详细信息。
扫描日志(仅适用于 CVE)
该选项卡显示最近五次 CVE 扫描的报告,其中包括默认系统扫描和用户启动的按需扫描。您可以下载 CSV 格式的每次扫描报告。如果按需扫描正在进行中,您可以在此处看到完成状态。如果任何扫描失败,则状态表示失败。
CVE 存储库
此选项卡包含 2019 年 12 月以来所有 CVE 的最新信息,以及以下详细信息:
- CVE ID
- 漏洞类型
- 发布日期
- 严重性级别
- 补救措施
- 安全公告链接
立即扫描
您可以根据需要随时扫描实例。
单击 “立即扫描”,然后选择 “扫描 CVE”、“扫描文件” 或 “同时扫描” 以获取您的实例的最新安全报告。
扫描 CVE-仅扫描影响您的 NetScaler 实例的 CVE。扫描完成后,修改后的安全详细信息将显示在安全通告 GUI 中。您还可以在“扫描日志”下找到报告,也可以下载该报告。
扫描文件-仅扫描文件完整性监控,并在 “文件完整性监控” 选项卡中提供结果。
两者兼而有之-扫描 CVE 检测和文件完整性监控
NetScaler ADM 需要几分钟才能完成扫描。
注意
扫描日志仅显示最近五次 CVE 扫描的日志,这些扫描既可以是计划的,也可以是按需进行的。
通知(仅适用于 CVE)
作为管理员,您会收到 Citrix Cloud 通知,这些通知会告知有多少 NetScaler 实例容易受到 CVE 的攻击。要查看通知,请单击 NetScaler ADM GUI 右上角的钟形图标。
免责声明:
请注意,NetScaler 文件完整性监控(“功能”)无法检测威胁参与者在瞄准相关环境时可能使用的所有技术、策略或程序 (TTP)。威胁参与者经常更改 TTP 和基础设施,因此该功能可能仅限于对某些威胁没有取证价值。强烈建议您保留经验丰富的法医调查人员的服务,以评估您的环境是否存在任何可能的威胁。
本文档及其包含的信息按原样提供。Cloud Software Group, Inc. 对文档或其内容不作任何明示或暗示的保证或陈述,包括但不限于本文档或其中包含的信息没有错误或符合任何适销性或适用于特定目的的条件。